Специалисты по кибербезопасности из компании Threat Fabric обнаружили новое семейство вредоносного ПО для мобильных устройств, способное обманом заставить пользователей Android раскрыть seed-фразы от своих криптовалютных кошельков.
Согласно отчету от 28 марта, вредоносная программа Crocodilus использует фальшивые экраны поверх легитимных приложений и выводит предупреждение о необходимости создания резервной копии ключа криптокошелька в течение определенного срока.
«После того как жертва вводит пароль от приложения, на экране появляется сообщение: ’Создайте резервную копию ключа вашего кошелька в настройках в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку‘», — поясняют в Threat Fabric.
Полный захват устройства
Этот прием социальной инженерии направляет пользователя к разделу с seed-фразой, что позволяет Crocodilus собрать эту информацию через службу специальных возможностей Android (accessibility logger). Как только злоумышленники получают seed-фразу, они получают полный контроль над кошельком и могут «полностью опустошить его».
Crocodilus — новое вредоносное ПО, которое, по мнению экспертов, оно обладает всеми функциями современного хакерского софта, включая атаки с использованием наложений экранов, продвинутый сбор данных через захват экрана с конфиденциальной информацией (например, паролями) и удаленный доступ для получения контроля над зараженным устройством.
Механизм заражения
Первоначальное заражение происходит при непреднамеренной загрузке вредоносного ПО в составе другого программного обеспечения, которое обходит защиту Android 13 и другие механизмы безопасности.
После установки Crocodilus запрашивает включение службы специальных возможностей, что позволяет хакерам получить доступ к устройству.
«После предоставления этих прав вредоносное ПО подключается к серверу управления и контроля (C2) для получения инструкций, включая список целевых приложений и накладываемых экранов», — отмечают в Threat Fabric.
Программа работает непрерывно, отслеживая запуск приложений и отображая накладки для перехвата учетных данных. Когда открывается целевое банковское или криптовалютное приложение, поверх него запускается фальшивый экран, и хакеры берут контроль над устройством.
«Имея украденные персональные данные и учетные данные, злоумышленники могут получить полный контроль над устройством жертвы, используя встроенный удаленный доступ, и скрытно совершать мошеннические транзакции», — предупреждают специалисты.
География атак
Команда Mobile Threat Intelligence компании Threat Fabric обнаружила, что вредоносное ПО нацелено на пользователей в Турции и Испании, но предполагает, что сфера его применения со временем расширится.
Эксперты также предположили, что разработчики могут говорить по-турецки, основываясь на примечаниях в коде, и добавили, что за вредоносным ПО может стоять известный злоумышленник по имени Sybra или другой хакер, тестирующий новое программное обеспечение.
«Появление мобильного банковского трояна Crocodilus свидетельствует о значительном усложнении современного вредоносного ПО и повышении уровня создаваемой им угрозы. С его продвинутыми возможностями захвата устройства, функциями удаленного управления и использованием фальшивых накладных экранов с самых ранних версий, Crocodilus демонстрирует уровень зрелости, необычный для недавно обнаруженных угроз», — заключили в Threat Fabric.
Количество пользователей криптовалют продолжает расти, и это неизбежно привлекает внимание киберпреступников. Учитывая возрастающую изощренность вредоносного ПО вроде Crocodilus, стоит быть особенно внимательными при установке приложений и предоставлении им доступа к функциям вашего устройства.
▼
Самые интересные и важные новости на нашем канале в Telegram
