Um novo malware para Android, apelidado de Crocodilus, engana usuários para obter a seed phrase de carteiras de criptomoedas utilizando um aviso para fazer backup da chave para evitar perder o acesso.
Embora o Crocodilus seja um novo malware bancário, ele possui capacidades plenamente desenvolvidas para assumir o controle do dispositivo, coletar dados e controlar remotamente.
Pesquisadores da empresa de prevenção a fraudes ThreatFabric informam que o malware é distribuído por meio de um dropper proprietário que contorna as proteções de segurança do Android 13 (e posteriores).
O dropper instala o malware sem acionar o Play Protect, ao mesmo tempo em que contorna as restrições do Serviço de Acessibilidade.
O que torna o Crocodilus especial é que ele integra engenharia social para fazer com que as vítimas forneçam acesso à sua seed phrase da carteira de cripto.
Isso é conseguido por meio de um overlay de tela avisando os usuários para “fazer backup de sua chave da carteira nas configurações dentro de 12 horas” ou arriscar perder o acesso à sua carteira.
“Esse truque de engenharia social guia a vítima para navegar até sua *seed phrase* (chave da carteira), permitindo que o Crocodilus colha o texto usando seu Accessibility Logger,” explica a ThreatFabric.
“Com essa informação, os atacantes podem assumir o controle total da carteira e esvaziá-la completamente,” dizem os pesquisadores.
Em suas primeiras operações, o Crocodilus foi observado atacando usuários na Turquia e na Espanha, incluindo contas bancárias desses dois países.
Pelas mensagens de depuração, parece que o malware é de origem turca.
Não está claro como ocorre a infecção inicial, mas, tipicamente, as vítimas são enganadas para baixar droppers através de sites maliciosos, promoções falsas em mídias sociais ou SMS e lojas de aplicativos de terceiros.
Quando lançado, o Crocodilus ganha acesso ao Serviço de Acessibilidade, normalmente reservado para ajudar pessoas com deficiências, para desbloquear o acesso ao conteúdo da tela, realizar gestos de navegação e monitorar o lançamento de aplicativos.
Quando a vítima abre um aplicativo bancário ou de criptomoedas visado, o Crocodilus carrega um overlay falso em cima do aplicativo real para interceptar as credenciais da conta da vítima.
O componente bot do malware suporta um conjunto de 23 comandos que ele pode executar no dispositivo, incluindo:
- Habilitar o encaminhamento de chamadas
- Iniciar um aplicativo específico
- Postar uma notificação *push*
- Enviar SMS para todos os contatos ou um número especificado
- Obter mensagens SMS
- Solicitar privilégios de Administrador do Dispositivo
- Habilitar um *overlay* preto
- Habilitar/desabilitar som
- Bloquear tela
- Tornar-se o gerenciador de SMS padrão
O malware também oferece funcionalidade de remote access trojan (RAT), que permite aos seus operadores tocar na tela, navegar pela interface do usuário, realizar gestos de deslize e mais.
Há também um comando RAT dedicado para tirar uma captura de tela do aplicativo Google Authenticator e capturar códigos de senha de uso único usados para proteção de conta com autenticação de dois fatores.
Enquanto executa essas ações, os operadores do Crocodilus podem ativar um overlay de tela preta e silenciar o dispositivo para esconder a atividade da vítima e fazer parecer como se o dispositivo estivesse bloqueado.
Embora o Crocodilus pareça ter um alvo específico limitado à Espanha e à Turquia por enquanto, o malware poderia expandir suas operações em breve, adicionando mais aplicativos à sua lista de alvos.
Usuários de Android são aconselhados a evitar baixar APKs fora do Google Play e garantir que o Play Protect esteja sempre ativo em seus dispositivos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...