A empresa de cibersegurança Threat Fabric afirma ter identificado uma nova família de malware para dispositivos móveis que pode lançar uma sobreposição falsa em determinados aplicativos para enganar usuários de Android e levá-los a fornecer suas frases-semente de criptomoedas enquanto o dispositivo é assumido.

Analistas da Threat Fabric disseram, em um relatório de 28 de março, que o malware Crocodilus utiliza uma sobreposição de tela que alerta os usuários a fazerem backup da chave da carteira cripto dentro de um prazo específico, sob o risco de perderem o acesso.

“Assim que a vítima fornece uma senha do aplicativo, a sobreposição exibirá uma mensagem: Faça o backup da chave da sua carteira nas configurações dentro de 12 horas. Caso contrário, o aplicativo será reiniciado e você poderá perder o acesso à sua carteira”, disse a Threat Fabric.

“Esse truque de engenharia social orienta a vítima a navegar até a frase-semente da carteira, permitindo que o Crocodilus capture o texto por meio de seu registrador de acessibilidade.”

Fonte: Threat Fabric

Uma vez que os invasores obtêm a frase-semente, eles podem assumir o controle total da carteira e “esvaziá-la completamente”.

A Threat Fabric afirma que, apesar de ser um malware novo, o Crocodilus possui todas as funcionalidades dos malwares bancários modernos, incluindo ataques com sobreposição de tela, coleta avançada de dados por meio de captura de tela de informações sensíveis, como senhas, e acesso remoto para controlar o dispositivo infectado.

Segundo a Threat Fabric, a infecção inicial ocorre quando o malware é baixado inadvertidamente junto com outros softwares que conseguem burlar o Android 13 e suas proteções de segurança.

Após a instalação, o Crocodilus solicita a ativação do serviço de acessibilidade, o que permite aos hackers obter acesso ao dispositivo.

“Uma vez concedido, o malware se conecta ao servidor de comando e controle (C2) para receber instruções, incluindo a lista de aplicativos-alvo e as sobreposições que devem ser usadas”, informou a Threat Fabric.

Após a instalação, o Crocodilus solicita a ativação do serviço de acessibilidade, concedendo aos hackers acesso ao dispositivo. Fonte: Threat Fabric

Ele roda continuamente, monitorando a abertura de aplicativos e exibindo sobreposições para interceptar credenciais. Quando um aplicativo bancário ou de criptomoedas é aberto, a sobreposição falsa aparece por cima e silencia o som enquanto os hackers assumem o controle do dispositivo.

“Com as informações pessoais roubadas (PII) e credenciais, os invasores podem assumir o controle total do dispositivo da vítima usando acesso remoto embutido, realizando transações fraudulentas sem serem detectados”, afirmou a Threat Fabric.

A equipe de Inteligência de Ameaças Móveis da Threat Fabric identificou que o malware tem como alvo usuários na Turquia e na Espanha, mas afirmou que o escopo de atuação provavelmente se expandirá com o tempo.

Eles também especulam que os desenvolvedores possam falar turco, com base em anotações encontradas no código, e acrescentaram que um agente malicioso conhecido como Sybra ou outro hacker testando um novo software pode estar por trás do malware.

“O surgimento do trojan bancário móvel Crocodilus marca uma escalada significativa no nível de sofisticação e ameaça representado pelos malwares modernos.”

“Com suas avançadas capacidades de controle total do dispositivo, recursos de acesso remoto e uso de ataques com sobreposição escura desde suas primeiras versões, o Crocodilus demonstra um nível de maturidade incomum em ameaças recém-descobertas”, concluiu a Threat Fabric.