Pesquisadores de cibersegurança descobriram um novo malware bancário para Android chamado Crocodilus, que tem como principais alvos usuários na Espanha e Turquia.
"Crocodilus surge não como um simples clone, mas como uma ameaça plenamente desenvolvida desde o início, equipada com técnicas modernas como controle remoto, overlays de tela preta e coleta avançada de dados via logging de acessibilidade", disse a ThreatFabric.
Como outros trojans bancários de sua categoria, o malware é projetado para facilitar a tomada de controle do dispositivo (DTO) e, em última análise, realizar transações fraudulentas.
Uma análise do código fonte e das mensagens de depuração revela que o autor do malware é falante de turco.
Os artefatos do Crocodilus analisados pela empresa holandesa de segurança mobile se disfarçam como Google Chrome (nome do pacote: "quizzical.washbowl.calamity"), que atua como um dropper capaz de contornar as restrições do Android 13+.
Uma vez instalado e lançado, o app solicita permissão para os serviços de acessibilidade do Android, após o qual é estabelecido contato com um servidor remoto para receber mais instruções, a lista de aplicações financeiras a serem visadas e os overlays HTML a serem usados para roubar credenciais.
Crocodilus também é capaz de mirar em carteiras de criptomoedas com um overlay que, em vez de fornecer uma página de login falsa para capturar informações de login, exibe uma mensagem de alerta instando as vítimas a fazer backup de suas seed phrases dentro de 12 horas, ou então arriscar perder o acesso às suas carteiras.
Este truque de engenharia social é apenas um artifício por parte dos atores da ameaça para guiar as vítimas a navegar até suas seed phrases, que são então colhidas através do abuso dos serviços de acessibilidade, permitindo assim que eles ganhem controle total das carteiras e drenem os ativos.
"Ele funciona continuamente, monitorando lançamentos de aplicativos e exibindo overlays para interceptar credenciais", disse a ThreatFabric.
O malware monitora todos os eventos de acessibilidade e captura todos os elementos exibidos na tela.
Isso permite que o malware registre todas as atividades realizadas pelas vítimas na tela, bem como acione uma captura de tela do conteúdo do aplicativo Google Authenticator.
Outra característica do Crocodilus é sua capacidade de ocultar as ações maliciosas no dispositivo exibindo um overlay de tela preta, além de silenciar sons, garantindo assim que permaneçam despercebidos pelas vítimas.
Algumas das características importantes suportadas pelo malware incluem:
- Lançar um aplicativo especificado
- Auto-remover-se do dispositivo
- Postar uma notificação push
- Enviar mensagens SMS para todos/contatos selecionados
- Recuperar listas de contato
- Obter uma lista de aplicativos instalados
- Obter mensagens SMS
- Solicitar privilégios de Admin do Dispositivo
- Ativar overlay preto
- Atualizar configurações do servidor C2
- Ativar/desativar som
- Ativar/desativar keylogging
- Tornar-se o gerenciador padrão de SMS
"A emergência do trojan bancário móvel Crocodilus marca uma escalada significante na sofisticação e no nível de ameaça representado por malwares modernos", disse a ThreatFabric.
"Com suas avançadas capacidades de Takeover de Dispositivo, recursos de controle remoto e a implantação de ataques de overlay preto desde suas primeiras iterações, Crocodilus demonstra um nível de maturidade incomum em ameaças recém-descobertas."
O surgimento ocorre enquanto a Forcepoint divulgou detalhes de uma campanha de phishing que tem sido encontrada usando iscas temáticas de impostos para distribuir o trojan bancário Grandoreiro visando usuários do Windows no México, Argentina e Espanha por meio de um script Visual Basic ofuscado.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...