网络安全公司Threat Fabric表示,他们发现了一种新的移动设备恶意软件家族,该软件可以为特定应用程序生成虚假覆盖界面,从而欺骗Android用户提供他们的加密货币助记词,并在此过程中接管设备。
Threat Fabric的分析师在3月28日的报告中指出,Crocodilus恶意软件利用屏幕覆盖技术,向用户发出警告,要求他们在指定期限内备份加密钱包密钥,否则将失去访问权限。
“当受害者在应用程序中输入密码后,覆盖界面会显示一条消息:请在12小时内前往设置备份您的钱包密钥,否则应用将被重置,您可能会失去钱包的访问权限。”Threat Fabric说道。
“这一社会工程学骗局引导受害者进入助记词钱包密钥页面,使Crocodilus能够利用其辅助功能日志记录器窃取相关文本。”
来源:Threat Fabric
一旦攻击者获得助记词,他们就能完全控制钱包,并“彻底清空”资金。
Threat Fabric表示,尽管Crocodilus是一种新型恶意软件,但它具备现代银行恶意软件的所有特性,包括覆盖攻击、通过屏幕截图窃取密码等敏感信息的高级数据采集功能,以及远程访问以控制受感染设备。
根据Threat Fabric的报告,初始感染通常发生在用户无意间下载了含有该恶意软件的其他软件,这些软件能够绕过Android 13及其安全防护机制。
安装后,Crocodilus会请求启用辅助功能服务,一旦用户授予权限,黑客就能访问并控制设备。
“获得权限后,该恶意软件会连接至指挥与控制(C2)服务器,接收指令,包括目标应用列表以及要使用的覆盖界面。”Threat Fabric说道。
安装后,Crocodilus 会请求启用无障碍服务,从而允许黑客访问该设备。来源:Threat Fabric
它会持续运行,监控应用程序的启动,并显示覆盖界面以拦截凭证信息。当受害者打开目标银行或加密货币应用时,虚假覆盖界面会立即启动,同时静音设备声音,以便黑客接管设备控制权。
“凭借窃取的个人身份信息(PII)和凭证,攻击者可以利用内置远程访问功能完全控制受害者的设备,从而在不被察觉的情况下完成欺诈交易。”Threat Fabric表示。
Threat Fabric的移动威胁情报团队发现,该恶意软件主要针对土耳其和西班牙的用户,但预计未来攻击范围将会扩大。
此外,团队推测,恶意软件的开发者可能会说土耳其语,因为代码中的注释表明其使用了土耳其语。他们还表示,一个名为Sybra的威胁行为者,或另一名测试新软件的黑客,可能是该恶意软件的幕后黑手。
“Crocodilus移动银行木马的出现,标志着现代恶意软件在复杂性和威胁级别上的重大升级。”
“凭借其先进的设备接管能力、远程控制功能,以及从最早版本就部署的黑色覆盖攻击,Crocodilus展现出一种不常见的新型威胁成熟度。”Threat Fabric补充道。