Din cuprinsul articolului
Noua escrocherie Crocodilus. Un program pentru Android descoperit recent, numit Crocodilus, îi păcălește pe utilizatori să furnizeze fraza de bază pentru portofelul cu criptomonede. ”Clienții” fsunt avertizați că trebuie să facă o copie de rezervă a cheii pentru a evita pierderea accesului, potrivit bleepingcomputer.
Crocodilus este un nou program malware bancar, are capabilități complet dezvoltate pentru a prelua controlul asupra dispozitivului, a colecta date și a controla de la distanță.
Cum funcționează aceasta fraudă
Cercetătorii de la compania de prevenire a fraudelor ThreatFabric spun că malware-ul este distribuit printr-un dropper proprietar care ocolește protecția de securitate Android 13.
Dropper-ul instalează malware-ul fără a declanșa Play Protect, ocolind și restricțiile Serviciului de accesibilitate.
Ceea ce face ca Crocodilus să fie special? Integrează ingineria socială și face victima să ofere acces la fraza lor de bază pentru portofelul crypto.
Atactorii copieză rezerva cheie a portofelului
Acesta realizează acest lucru printr-o suprapunere a ecranului care avertizează utilizatorii să „copieze de rezervă cheia portofelului în setări în decurs de 12 ore” sau riscă să piardă accesul la portofel.
„Acest truc de inginerie socială îndrumă victima să navigheze la fraza de bază (cheia portofelului), permițând lui Crocodilus să recolteze textul folosind Loggerul de accesibilitate”, explică ThreatFabric.
„Cu aceste informații, atacatorii pot prelua controlul deplin asupra portofelului și îl pot epuiza complet”, spun cercetătorii.
În primele sale operațiuni, Crocodilus a fost observat că vizează utilizatori din Turcia și Spania, inclusiv conturi bancare din aceste două țări. Judecând după mesajele de depanare, se pare că malware-ul este de origine turcă.
Nu este clar cum apare infecția inițială, dar, de obicei, victimele sunt păcălite să descarce droppers prin site-uri rău intenționate, promoții false pe rețelele sociale sau SMS și magazine de aplicații terțe.
Când este lansat, Crocodilus obține acces la Serviciul de accesibilitate, rezervat în mod normal pentru a ajuta persoanele cu dizabilități, pentru a debloca accesul la conținutul ecranului, pentru a efectua gesturi de navigare și pentru a monitoriza lansările de aplicații.
Când victima deschide o aplicație bancară sau criptomonedă vizată, Crocodilus încarcă o suprapunere falsă deasupra aplicației reale pentru a intercepta acreditările contului victimei.
Malware-ul oferă, de asemenea, funcționalitate troian de acces la distanță (RAT), care le permite operatorilor săi să atingă ecranul, să navigheze în interfața cu utilizatorul, să efectueze gesturi de glisare și multe altele.
Există, de asemenea, o comandă RAT dedicată pentru a face o captură de ecran a aplicației Google Authenticator și a captura coduri de parolă unice utilizate pentru protecția contului de autentificare cu doi factori.
În timpul executării acestor acțiuni, operatorii Crocodilus pot activa o suprapunere a ecranului negru și pot opri dispozitivul pentru a ascunde activitatea de victimă și a face ca dispozitivul să pară blocat.
