I ricercatori della sicurezza informatica hanno scoperto un nuovo malware bancario Android chiamato Crocodilus È progettato principalmente per colpire gli utenti in Spagna e Turchia.
“Crocodilus entra in scena non come un clone semplice, ma come una minaccia a tutti gli effetti fin dall’inizio, dotata di tecniche moderne come il telecomando, le sovrapposizioni a schermo nero e la raccolta avanzata dei dati attraverso la registrazione dell’accessibilità” disse.
Come con altro Trojan bancari Di tipo, il malware è progettato per facilitare l’acquisizione del dispositivo (Dto) e infine condurre transazioni fraudolente. Un’analisi del codice sorgente e dei messaggi di debug rivela che l’autore di malware è di lingua turca.
Gli artefatti Crocodilus analizzati dalla società di sicurezza cell olandese mascherate come Google Chrome (nome del pacchetto: “Quizzical.washbowl.calamity”), che funge da contagocce capace di bypassare le restrizioni Android 13+.
Una volta installata e lanciata, l’app richiede l’autorizzazione ai servizi di accessibilità di Android, dopo di che il contatto viene stabilito con un server remoto per ricevere ulteriori istruzioni, l’elenco delle applicazioni finanziarie da prendere di mira e le sovrapposizioni HTML da utilizzare per rubare le credenziali.
Crocodilus è anche in grado di prendere di mira i portafogli di criptovaluta con una sovrapposizione che, invece di servire una pagina di accesso falsa per catturare informazioni di accesso, mostra un messaggio di avviso che spinge le vittime a eseguire il backup delle loro frasi di semi entro 12, altrimenti rischiano di perdere l’accesso ai loro portafogli.
Questo trucco ingegneristico sociale non è altro che uno stratagemma da parte degli attori della minaccia per guidare le vittime a navigare verso le loro frasi di semi, che vengono poi raccolte attraverso l’abuso dei servizi di accessibilità, permettendo loro di ottenere il pieno controllo dei portafogli e di drenare le risorse.
“Funziona continuamente, il monitoraggio dell’app e la visualizzazione di sovrapposizioni per intercettare le credenziali”, ha affermato minaccia. “Il malware monitora tutti gli eventi di accessibilità e cattura tutti gli elementi visualizzati sullo schermo.”
Ciò consente al malware di registrare tutte le attività eseguite dalle vittime sullo schermo, nonché attivare una cattura dello schermo del contenuto dell’applicazione di Google Authenticator.
Un’altra caratteristica di Crocodilus è la sua capacità di nascondere le azioni dannose sul dispositivo visualizzando una sovrapposizione dello schermo nero, nonché suoni di muting, garantendo così che rimanessero inosservati dalle vittime.
Alcune delle caratteristiche importanti supportate dal malware sono elencate di seguito –
- Avvio dell’applicazione specificata
- Auto-rimovi dal dispositivo
- Pubblica una notifica push
- Invia messaggi SMS a tutti/seleziona Contatti
- Recupera gli elenchi di contatti
- Ottieni un elenco di applicazioni installate
- Ricevi messaggi SMS
- Richiedi privilegi di amministrazione del dispositivo
- Abilita la sovrapposizione nera
- Aggiorna le impostazioni del server C2
- Abilita/disabilita il suono
- Abilita/disabilita il keylogging
- Fare se stesso un supervisor SMS predefinito
“L’emergere del Trojan cell Banking di Crocodilus segna una significativa escalation nel livello di raffinatezza e minaccia posta dal malware moderno”, ha affermato minaccia.
“Con le sue capacità avanzate di acquisizione di dispositivi, caratteristiche del telecomando e lo spiegamento di attacchi di overlay neri dalle sue prime iterazioni, Crocodilus dimostra un livello di maturità insolito nelle minacce appena scoperte.”
Lo sviluppo arriva come pinza divulgato Dettagli di una campagna di phishing che è stata trovata che impiega esche a tema fiscale per distribuire il Granderoiro Banking Trojan rivolta agli utenti di Home windows in Messico, Argentina e Spagna per mezzo di uno script di Visible Primary offuscato.
