Вредоносное ПО для Android "Crocodilus" может захватывать устройства для кражи криптовалюты

Компания по кибербезопасности Threat Fabric выявила новую группу вредоносного ПО для мобильных устройств, которая может создавать поддельные наложения для определенных приложений, чтобы обмануть пользователей Android и заставить их предоставить свои криптоключи.

Аналитики Threat Fabric в отчете от 28 марта сообщили, что вредоносное ПО Crocodilus использует экранное предупреждение, призывающее пользователей создать резервную копию ключей криптокошелька до истечения определенного срока, иначе они рискуют потерять доступ.

«Как только жертва вводит пароль от приложения, наложение отображает сообщение: резервное копирование ключа кошелька в настройках нужно сделать в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку», — говорится в сообщении Threat Fabric.

«Эта социальная инженерия направляет жертву на путь поиска криптоключа, позволяя Crocodilus получать текст с помощью регистратора доступности».

Как только злоумышленники получают криптоключ, они могут полностью захватить контроль над кошельком и «опустошить его полностью».

Несмотря на то что Crocodilus является новым вредоносным ПО, он имеет все признаки современного банковского вредоносного ПО, включая атаки наложениями, расширенное сбор информации через экранные снимки чувствительных данных, таких как пароли, и удаленный доступ для захвата контроля над зараженным устройством.

Первоначальное заражение происходит из-за неосознанной загрузки вредоносного ПО в другом программном обеспечении, которое обходит защиту Android 13, говорит Threat Fabric.

После установки Crocodilus запрашивает включение службы доступности, что позволяет хакерам получить доступ к устройству.

«Как только доступ предоставлен, вредоносное ПО подключается к серверу управления и контроля (C2), чтобы получать инструкции, включая список целевых приложений и наложений для использования», — сообщили в Threat Fabric.

Он работает непрерывно, отслеживая запуски приложений и отображая наложения для перехвата учетных данных. Когда открывается целевое банковское или криптовалютное приложение, поддельное наложение запускается поверх и отключает звук, в то время как хакеры получают контроль над устройством.

«С украденной личной информацией и учетными данными злоумышленники могут получить полный контроль над устройством жертвы с помощью встроенного удаленного доступа, совершая мошеннические транзакции без обнаружения», — сообщили в Threat Fabric.

Команда Mobile Threat Intelligence из Threat Fabric обнаружила, что вредоносное ПО нацелено на пользователей в Турции и Испании, но отметила, что масштабы использования, вероятно, со временем расширятся.

Они также предполагают, что разработчики могут говорить на турецком языке, основываясь на записях в коде, и добавили, что за вредоносным ПО может стоять известный как Sybra участник или другой хакер, испытывающий новое программное обеспечение.

«Появление мобильного банковского трояна Crocodilus означает значительное усиление уровня сложности и угрозы, представленной современным вредоносным ПО».

«С его расширенными возможностями захвата устройства, функциями удаленного управления и внедрением черных наложений с самых ранних этапов, Crocodilus демонстрирует уровень зрелости, редкий для недавно обнаруженных угроз», — добавили в Threat Fabric.