网络安全企业威胁Fabric表示,它已经找到了一个新的移动设备恶意软件系列,该家族可以为某些应用程序启动假叠加层,以欺骗Android用户在接管设备时提供其加密货币种子短语。
威胁织物分析师 说 在3月28日的报告中,Crocodilus恶意软件使用屏幕覆盖警告用户来备份他们的 加密钱包钥匙 通过特定的截止日期或风险失去访问权限。
“受害者在应用程序中提供密码后,覆盖层将显示一条消息:在12小时内备份设置中的钱包钥匙。否则,该应用程序将被重置,您可能会失去对钱包的访问,”威胁面料说。
“这种社会工程技巧指导受害者到他们的种子短语钱包钥匙,使鳄鱼可以使用其可访问性记录器收集文本。”
来源: 威胁面料
一旦威胁参与者拥有种子短语,他们就可以抓住对钱包的完全控制并“完全排干”。
威胁织物说,尽管它是一种新的恶意软件,但Crocodilus具有现代银行恶意软件的所有功能,具有覆盖攻击,通过屏幕截图捕获敏感信息(例如密码)和远程访问来控制受感染设备的高级数据收获。
初始感染是由 无意中下载恶意软件 根据威胁结构,在绕过Android 13和安全保护的其他软件中。
安装后,Crocodilus要求启用可访问性服务,这使黑客能够访问该设备。
“批准后,恶意软件连接到命令和控制服务器,以接收说明,包括目标应用程序的列表和要使用的叠加层,”威胁面料说。
安装后,Crocodilus要求启用可访问性服务,从而授予黑客访问设备。来源: 威胁面料
它连续运行,监视应用程序启动并显示叠加层以拦截凭据。当打开目标银行或加密货币应用程序时,假覆盖层在顶部启动,并在黑客控制该设备的同时使声音静音。
威胁织物说:“借助被盗的PII和证书,威胁行为者可以使用内置远程访问完全控制受害者的设备,从而完成欺诈性交易而无需检测。”
威胁Fabrix的移动威胁情报团队发现了恶意软件 针对土耳其的用户 西班牙,但说使用范围可能会随着时间而扩大。
他们还根据《守则》中的注释推测开发商可以说土耳其语,并补充说,威胁性演员被称为sybra或 另一个黑客测试 新软件可能是恶意软件的背后。
“鳄鱼移动银行木马的出现标志着现代恶意软件带来的复杂和威胁水平的显着升级。”
威胁织物补充说:“凭借其先进的设备吸引功能,远程控制功能以及从最早的迭代中部署黑色覆盖攻击的功能,Crococodilus在新发现的威胁中表现出很少的成熟度。”
杂志: 荒谬
