Threat Fabric’s Mobile Threat Intelligence (MTI) team har advaret kryptovaluta-brugere om en ny variant af Crocodilus mobil malware, nu udstyret med en automatiseret seed phrase-samler.
'Crocodilus' Malware Stjæler Seed Phraser, Målretter Krypto-brugere Globalt
SKREVET AF
DEL
Malware har Seed-Phrase-Samlende Parser
Mobil Threat Intelligence (MTI) teamet hos Threat Fabric har udsendt en advarsel til kryptovaluta-brugere om en ny variant af mobil malware, Crocodilus, som nu inkluderer en automatiseret seed phrase-samler. Oprindeligt identificeret i marts, rapporteres det nu, at denne malware udvider sin målliste fra europæiske lande til at inkludere brugere i Sydamerika.
I sit seneste blogindlæg udtalte MTI-teamet, at den nye variant af Crocodilus specifikt målretter kryptovaluta wallet-applikationer. Hvad der gør denne variant særlig bekymrende er dens yderligere parser, som hjælper med at udtrække seed phrases og private nøgler fra specifikke wallets.
Mens den stadig er baseret på tilgængelighedsloggen, der var til stede i tidligere varianter, inkluderer den opdaterede malware forbedret forbehandling af loggede skærmdata. Denne forbedring gør det muligt at udtrække data i et specifikt format ved brug af regulære udtryk, før det vises.
“I vores tidligere blog om Crocodilus fremhævede vi cyberkriminelles interesse i kryptovaluta wallets, da de fik ofre til at åbne wallet-apps for yderligere at stjæle de viste data på skærmen,” forklarede teamet. “Med yderligere parsing gjort på enhedens side, modtager trusselsaktører høj-kvalitets forbehandlede data, klar til brug i svigagtige operationer som kontoovertagelse, rettet mod ofres kryptovalutaaktiver.”
Udover den ekstra parser, indeholder den opdaterede malware en funktion, der tillader cyberkriminelle at ændre kontaktlisten på en inficeret enhed. MTI-teamet mistænker, at denne funktion gør det muligt for angribere at tilføje et telefonnummer under et overbevisende navn, såsom “Bank Support.” Denne kontakt kunne derefter bruges til at ringe til offeret, mens den fremstår som legitim og potentielt undgår svindelforebyggende foranstaltninger, der markerer ukendte numre.
Ifølge MTI-teamet udfører Crocodilus aktivt cyberkampagner i Tyrkiet og Spanien, rettet mod brugere af større banker og kryptovalutaplatforme. I Tyrkiet forklæder det sig som et online casino og spreder sig gennem ondsindede annoncer, overlay med falske login-sider på finansielle applikationer.
I Spanien distribueres det som en falsk browseropdatering, der sigter mod næsten alle spanske banker. Mindre kampagner er også blevet opdaget med globale mål, der påvirker applikationer i Argentina, Brasilien, USA, Indonesien og Indien, tilføjede teamet.
