Tim Intelijen Ancaman Seluler (MTI) Threat Fabric telah memperingatkan pengguna cryptocurrency tentang varian baru malware seluler Crocodilus, sekarang dilengkapi dengan kolektor frasa benih otomatis.
'Malware 'Crocodilus' Mencuri Frasa Benih, Menargetkan Pengguna Kripto Secara Global
DITULIS OLEH
BAGIKAN
Malware Menampilkan Parser Pengumpul Frasa Benih
Tim Intelijen Ancaman Seluler (MTI) di Threat Fabric telah mengeluarkan peringatan kepada pengguna cryptocurrency tentang varian baru malware seluler, Crocodilus, yang sekarang mencakup kolektor frasa benih otomatis. Awalnya diidentifikasi pada bulan Maret, malware ini dilaporkan memperluas daftar targetnya dari negara-negara Eropa untuk mencakup pengguna di Amerika Selatan.
Dalam blog post terbarunya, tim MTI menyatakan bahwa varian baru Crocodilus secara khusus menargetkan aplikasi dompet cryptocurrency. Yang membuat varian ini sangat mengkhawatirkan adalah parser tambahan, yang membantu mengekstraksi frasa benih dan kunci pribadi dari dompet tertentu.
Meskipun masih berbasis pada fitur pencatatan aksesibilitas yang ada dalam varian sebelumnya, malware yang diperbarui ini mencakup pemrosesan awal yang ditingkatkan dari data yang tercatat di layar. Peningkatan ini memungkinkan untuk mengekstraksi data dalam format tertentu menggunakan ekspresi reguler sebelum ditampilkan.
“Dalam blog kami sebelumnya tentang Crocodilus, kami menyoroti minat penjahat dunia maya pada dompet cryptocurrency karena mereka membuat korban membuka aplikasi dompet untuk lebih lanjut mencuri data yang ditampilkan di layar,” tim menjelaskan. “Dengan pemrosesan tambahan yang dilakukan di sisi perangkat, pelaku ancaman menerima data pra-diproses berkualitas tinggi, siap digunakan dalam operasi penipuan seperti pengambilalihan akun, menargetkan aset cryptocurrency korban.”
Selain parser tambahan, malware yang diperbarui ini menampilkan kemampuan yang memungkinkan penjahat dunia maya untuk memodifikasi daftar kontak pada perangkat yang terinfeksi. Tim MTI menduga fitur ini memungkinkan penyerang untuk menambahkan nomor telepon dengan nama yang meyakinkan, seperti “Dukungan Bank.” Kontak ini kemudian dapat digunakan untuk menelepon korban sambil tampak sah, berpotensi melewati langkah-langkah pencegahan penipuan yang menandai nomor yang tidak dikenal.
Menurut tim MTI, Crocodilus secara aktif melakukan kampanye siber di Turki dan Spanyol, menargetkan pengguna dari bank besar dan platform cryptocurrency. Di Turki, ia menyamar sebagai kasino online dan menyebar melalui iklan berbahaya, menampilkan halaman login palsu di aplikasi keuangan.
Di Spanyol, ia didistribusikan sebagai pembaruan browser palsu, menargetkan hampir semua bank di Spanyol. Kampanye yang lebih kecil juga telah terdeteksi dengan target global, memengaruhi aplikasi di Argentina, Brasil, AS, Indonesia, dan India, tambah tim tersebut.
