Kyberbezpečnostní firma Threat Fabric objevila novou skupinu mobilního malwaru, který dokáže aktivovat falešnou překryvnou vrstvu u vybraných aplikací, aby oklamal uživatele Androidu a přiměl je k zadání jejich kryptoměnových seed frází. Zatímco oběť interaguje s aplikací, malware přebírá kontrolu nad zařízením.
Ve zprávě z 28. března analytici Threat Fabric vysvětlují, že malware Crocodilus využívá překryvnou obrazovku. Ta varuje uživatele, aby si zálohovali klíč své kryptoměnové peněženky. Upozorňuje je, že pokud tak neučiní, riskují ztrátu přístupu k peněžence.
Tento trik sociálního inženýrství vede oběť k tomu, aby se dostala k seed frázi peněženky, což umožňuje malwaru Crocodilus získat text pomocí svého logu přístupnosti.
Malware, který ukradne vaše kryptoměny pomocí falešných překryvných vrstev
Jakmile útočníci získají seed frázi, mohou získat plnou kontrolu nad peněženkou a úplně ji vyprázdnit.
Ačkoli je Crocodilus novým malwarem, vykazuje všechny charakteristiky moderního bankovního malwaru. Patří sem útoky přes překryvné vrstvy, dále pak pokročilý sběr dat pomocí snímání obrazovky citlivých informací, jako jsou hesla. Malware má i vzdálený přístup k převzetí kontroly nad infikovaným zařízením.
Počáteční infekce nastává, když je malware neúmyslně stažen jako součást jiného softwaru, který obchází Android 13 a jeho bezpečnostní ochrany.
Jakmile je malware nainstalován, Crocodilus požádá uživatele o povolení služby přístupnosti, čímž hackerům poskytne přístup k zařízení.
„Jakmile je přístup povolen, malware se připojí k serveru pro příkazy a kontrolu (C2), kde obdrží pokyny, včetně seznamu cílových aplikací a překryvných vrstev, které mají být použity,“ uvedla Threat Fabric.
Malware Crocodilus: Jak funguje nový bankovní trojan
Malware běží neustále, sleduje spuštění aplikací a zobrazuje překryvné vrstvy, aby zachytil přihlašovací údaje. Když je otevřena cílená bankovní nebo kryptoměnová aplikace, na obrazovku se objeví falešná překryvná vrstva, která ztlumí zvuk, zatímco hackeři převezmou kontrolu nad zařízením.
S ukradenými osobními údaji (PII) a přihlašovacími údaji mohou útočníci získat plnou kontrolu nad zařízením oběti pomocí vestavěného vzdáleného přístupu. Poté už útočník může snadno provádět podvodné transakce bez detekce.
Cílové oblasti a rozšiřování hrozby
Mobilní tým pro analýzu hrozeb Threat Fabric zjistil, že malware cílí na uživatele v Turecku a Španělsku, ale rozsah jeho použití se pravděpodobně bude časem rozšiřovat.
Analytici se také domnívají, že vývojáři mohou mluvit turecky, na základě poznámek v kódu, a dodali, že malware může pocházet od známého útočníka Sybru nebo jiného hackera testujícího nový software.
„Se svými pokročilými schopnostmi převzetí zařízení, funkcemi vzdálené kontroly a nasazením černých překryvných útoků už od svých prvních verzí, Crocodilus ukazuje úroveň vyspělosti, která je u nově objevených hrozeb neobvyklá,“ dodala Threat Fabric.
Sleduj Jardovo investiční portfolio s pravidelným komentářem, jak postupuje.
A mnoho dalšího bonusového obsahu.