Новий “високоздатний” зловмисне програмне забезпечення мобільного банкінгу, що отримав назву “Crocodilus”, орієнтується на пристрої Android, вимагаючи чутливих облікових даних криптовалютного гаманця за допомогою тактики соціальної інженерії.
Недавній Дослідження фірми з кібербезпеки Тканина загрози виявив появу нового сімейного програмного забезпечення Crocodilus. Як повідомляється, зловмисне програмне забезпечення розповсюджується через власника крапельниці, який обходить обмеження Android 13+.
“Незважаючи на те, що він уже включає всі необхідні функції сучасного банківського зловмисного програмного забезпечення: напади на накладці, кейлогінг, віддалений доступ та” приховані “можливості дистанційного керування”, – зазначили аналітики.
Складне зловмисне програмне забезпечення Android, призначене для крадіжки приватних клавіш криптовалюти, не є новим. У жовтні 2024 року, ФБР оприлюднило попередження Про подібне зловмисне програмне забезпечення під назвою Spyagent, яке було пов’язане з північнокорейськими хакерами.
Однак те, що відрізняється в новому мобільному банкінгу Trojan Crocodilus – це “поглинання пристрою та вдосконалені крадіжки довіри”, – написала тканина загрози на X.
Crocodilus відображає накладки на цільові банки та криптовалюти
Зловмисне програмне забезпечення Crocodilus працює над Modus Operandi, подібним до сучасного “Trojan Banking Trojan”, зазначив аналітики. Після первинної установки через власника крапельниці зловмисне програмне забезпечення вимагає “служби доступності”, що ввімкнеться, вони додали.
Для перехоплення облікових даних, Crocodilus підключається до сервера командування та контролю (C2) для таких інструкцій, як накладки.
Крім того, загроза спочатку з’явилася в Іспанії та Туреччині, орієнтована на кілька криптовалют, виявила команда з розвідки мобільних загроз.
“Ми очікуємо, що цей область розшириться в усьому світі в міру розвитку зловмисного програмного забезпечення”, – зазначила команда.
Крім того, двофакторна автентифікація (2FA) обходиться зловмисним програмним забезпеченням за допомогою команди щурів, що запускає зйомку екрану на вміст програми Google Authenticator. Crocodilus фіксує код, що відображається на екрані в додатку Google Authenticator, і надсилає на С2.
Зловмисне програмне забезпечення доручає жертвам виконати цю роботу
На відміну від інших троянців, Crocodilus накладає цільовий криптовалют, попросивши жертв взяти резервну копію клавіш гаманця.
“Створіть резервну копію ключа гаманця в налаштуваннях протягом 12 годин. В іншому випадку додаток буде скинуто, і ви можете втратити доступ до свого гаманця”, – йдеться у тексті накладення.
Цей соціальний інженерний хакер керує жертвами для переходу до своєї насіннєвої фрази. Ця інтур дозволяє Crocodilus витягувати текст, використовуючи його реєстратор доступності.
“За допомогою цієї інформації зловмисники можуть захопити повний контроль над гаманцем і повністю злити його”, – сказали аналітики з тканини загрози.
Пост Нові зловмисні програми Android “Crocodilus” крадуть чутливі облікові дані криптовалюти: дослідження з’явився першим на Cryptonews.