Фірма з кібербезпеки Тканина загрози каже, що знайшла нову родину зловмисного програмного забезпечення для мобільних пристроїв, яка може запустити фальшиву накладку для певних додатків, щоб обдурити користувачів Android, щоб надати свої фрази з насінням криптовалют, коли він переймає пристрій.
Аналітики з тканини загрози заявили у звіті 28 березня, що зловмисне програмне забезпечення Crocodilus використовує попереджувальні користувачі, що попереджають, щоб створити резервну копію ключа гаманця криптовалюти за певним терміном або ризику втратити доступ.
“Після того, як жертва надає пароль із програми, накладка відобразить повідомлення: резервна копія ключа гаманця в налаштуваннях протягом 12 годин. В іншому випадку додаток буде скинуто, і ви можете втратити доступ до свого гаманця”, – сказала тканина загрози.
“Цей трюк із соціальної інженерії спрямовує жертву, щоб перейти до ключа гаманця насіннєвого фрази, що дозволяє Crocodilus збирати текст, використовуючи свій реєстратор доступності.”
Після того, як актори загрози мають насіннєву фразу, вони можуть скористатися повним контролем гаманця і “злити його повністю”.
Тканина загрози каже, що, незважаючи на те, що вона є новим зловмисним програмним забезпеченням, Crocodilus має всі функції сучасного зловмисного програмного забезпечення банківського програмного забезпечення, з атаками накладки, розширеним збиранням даних за допомогою захоплення екрану конфіденційної інформації, такої як паролі та віддалений доступ, щоб взяти під контроль заражений пристрій.
Початкова інфекція відбувається шляхом ненавмисного завантаження зловмисного програмного забезпечення в інше програмне забезпечення, яке обходить Android 13 та захист від безпеки, згідно з тканиною загрози.
Після встановлення Crocodilus вимагає ввімкнення служби доступності, що дозволяє хакерам отримати доступ до пристрою.
“Після надання зловмисне програмне забезпечення підключається до сервера командування та контролю (C2) для отримання інструкцій, включаючи перелік цільових додатків та накладки, які будуть використовуватися”,-сказала Fabric.
Він працює постійно, моніторинг запусків програми та відображення накладок для перехоплення облікових даних. Коли відкриється цільова банківська або криптовалюта, підроблена накладка запускається над вершиною і приглушує звук, поки хакери беруть під контроль пристрій.
“За допомогою викрадених PII та повноважень суб’єкти загрози можуть взяти повний контроль над пристроєм жертви за допомогою вбудованого віддаленого доступу, завершуючи шахрайські транзакції без виявлення”,-сказала Тканина загрози.
Команда Mobile Grows Intelligence Fabrix виявила, що зловмисне програмне забезпечення орієнтується на користувачів у Туреччині та Іспанії, але заявила, що сфера використання, швидше за все, розшириться з часом.
Пов’язано: Остерігайтеся “зламаних” TradingView-це криптовалютний троян
Вони також припускають, що розробники можуть говорити турецькою мовою, заснованої на нотатках у коді, і додав, що актор загрози, відомий як SYBRA, або інший хакер, що випробовує нове програмне забезпечення, може бути за зловмисним програмним забезпеченням.
“Поява троянського мобільного банківського банкінгу Crocodilus знаменує значну ескалацію у витонченості та загрозі, що спричиняє сучасне зловмисне програмне забезпечення”.
“Завдяки вдосконаленим можливостям пристрою, функціями дистанційного керування та розгортанням нападів чорного накладання з найдавніших ітерацій, Crocodilus демонструє рівень зрілості в нещодавно виявлених загрозах”,-додала загроза тканина.
