Das Mobile Threat Intelligence (MTI) Team von Threat Fabric hat Kryptowährungsnutzern vor einer neuen Variante der Crocodilus-Malware für Mobilgeräte gewarnt, die jetzt mit einem automatisierten Seed-Phrase-Sammler ausgestattet ist.
'Crocodilus' Malware stiehlt Seed-Phrasen, zielt weltweit auf Krypto-Nutzer ab
GESCHRIEBEN VON
TEILEN
Malware verfügt über Seed-Phrase-Parsing-Feature
Das Mobile Threat Intelligence (MTI) Team von Threat Fabric hat Kryptowährungsnutzer vor einer neuen Variante der mobilen Malware, Crocodilus, gewarnt, die jetzt einen automatischen Seed-Phrase-Sammler enthält. Ursprünglich im März identifiziert, soll diese Malware ihre Zielliste von europäischen Ländern auf Nutzer in Südamerika erweitert haben.
In seinem neuesten Blog-Beitrag erklärte das MTI-Team, dass die neue Variante von Crocodilus gezielt Kryptowährungs-Wallet-Anwendungen angreift. Was diese Variante besonders besorgniserregend macht, ist ihr zusätzliches Parsing-Tool, das dazu beiträgt, Seed-Phrasen und private Schlüssel aus bestimmten Wallets zu extrahieren.
Obwohl sie immer noch auf dem in früheren Varianten vorhandenen Accessibility-Logging-Feature basiert, beinhaltet die aktualisierte Malware eine verbesserte Vorverarbeitung der erfassten On-Screen-Daten. Diese Verbesserung ermöglicht die Extraktion von Daten in einem spezifischen Format mithilfe von regulären Ausdrücken, bevor sie angezeigt werden.
“In unserem vorherigen Blog über Crocodilus haben wir auf das Interesse von Cyberkriminellen an Kryptowährungs-Wallets hingewiesen, da sie die Opfer dazu brachten, die Wallet-Apps zu öffnen, um die auf dem Bildschirm angezeigten Daten zu stehlen”, erklärte das Team. “Mit zusätzlichem Parsing, das auf Seite des Geräts durchgeführt wird, erhalten Bedrohungsakteure hochwertig vorverarbeitete Daten, die bereit sind, in betrügerischen Aktivitäten wie der Übernahme von Konten verwendet zu werden, wobei die Kryptowährungswerte der Opfer im Visier stehen.”
Über das zusätzliche Parsing hinaus verfügt die aktualisierte Malware über eine Fähigkeit, die es Cyberkriminellen ermöglicht, die Kontaktliste auf einem infizierten Gerät zu ändern. Das MTI-Team vermutet, dass diese Funktion es Angreifern ermöglicht, eine Telefonnummer unter einem überzeugenden Namen wie “Bank Support” hinzuzufügen. Dieser Kontakt könnte dann verwendet werden, um das Opfer anzurufen und dabei legitim zu erscheinen, was möglicherweise Schutzmaßnahmen gegen Betrug umgeht, die unbekannte Nummern kennzeichnen.
Laut dem MTI-Team führt Crocodilus aktiv Cyberkampagnen in der Türkei und Spanien durch und zielt auf Nutzer großer Banken und Kryptowährungsplattformen ab. In der Türkei tarnt es sich als Online-Casino und verbreitet sich durch bösartige Anzeigen, die gefälschte Anmeldeseiten über Finanzanwendungen einblenden.
In Spanien wird es als gefälschtes Browser-Update verteilt und zielt dabei auf nahezu alle spanischen Banken ab. Kleinere Kampagnen wurden ebenfalls entdeckt, die globale Ziele betreffen und Anwendungen in Argentinien, Brasilien, den USA, Indonesien und Indien beeinträchtigen, fügte das Team hinzu.
