Tým Mobile Threat Intelligence (MTI) společnosti Threat Fabric varoval uživatele kryptoměn před novou variantou mobilního malwaru Crocodilus, který je nyní vybaven automatickým sběratelem seed frází.
'Crocodilus' Malware krade seed fráze, cílí na uživatele kryptoměn po celém světě.
NAPSAL
SDÍLET
Malware obsahuje parser pro sběr seed frází
Tým Mobile Threat Intelligence (MTI) společnosti Threat Fabric vydal varování pro uživatele kryptoměn ohledně nové varianty mobilního malwaru Crocodilus, která nyní zahrnuje automatický sběratel seed frází. Tento malware, původně identifikován v březnu, údajně rozšiřuje svůj seznam cílů z evropských zemí, aby zahrnul uživatele v Jižní Americe.
Ve svém nejnovějším blogovém příspěvku uvedl tým MTI, že nová varianta Crocodilus konkrétně cílí na aplikace kryptoměnových peněženek. Co činí tuto variantu obzvláště znepokojivou, je její dodatečný parser, který pomáhá extrahovat seed fráze a soukromé klíče ze specifických peněženek.
Přestože stále vychází z funkce přístupového logování přítomné v dřívějších variantách, aktualizovaný malware zahrnuje vylepšené předzpracování zaznamenaných dat na obrazovce. Toto vylepšení umožňuje extrakci dat ve specifickém formátu pomocí regulárních výrazů dříve, než jsou zobrazena.
“V našem předchozím blogu o Crocodilu jsme zdůraznili zájem kyberzločinců o kryptoměnové peněženky, protože oběti nutili spuštět aplikace peněženek, aby dále kradli data zobrazená na obrazovce,” vysvětlil tým. “S dodatečným zpracováním na straně zařízení dostávají hrozební aktéři vysoce kvalitní předzpracovaná data, připravena k použití v podvodných operacích, jako je převzetí účtu, zaměřování na kryptoměnová aktiva obětí.”
Kromě dodatečného parseru obsahuje aktualizovaný malware funkci, která umožňuje kyberzločincům upravovat seznam kontaktů na infikovaném zařízení. Tým MTI se domnívá, že tato funkce umožňuje útočníkům přidat telefonní číslo pod přesvědčivým jménem, jako je “Podpora banky.” Tento kontakt by pak mohl být použit k volání obětím a představovat se jako legitimní, což by mohlo obejít opatření na prevenci podvodů, která označují neznámá čísla.
Podle týmu MTI Crocodilus aktivně provádí kybernetické kampaně v Turecku a Španělsku, zaměřuje se na uživatele významných bank a kryptoměnových platforem. V Turecku se vydává za online kasino a šíří se prostřednictvím škodlivých reklam, které překrývají falešné přihlašovací stránky na finančních aplikacích.
Ve Španělsku je distribuován jako falešná aktualizace prohlížeče, mířící na téměř všechny španělské banky. Menší kampaně byly také odhaleny s globálními cíli, postihující aplikace v Argentině, Brazílii, USA, Indonésii a Indii, dodal tým.
