Il team Mobile Threat Intelligence (MTI) di Threat Fabric ha avvertito gli utenti di criptovalute riguardo a una nuova variante del malware mobile Crocodilus, ora dotata di un raccoglitore automatico di frasi chiave.
'Malware 'Crocodilus' ruba frasi seed, prende di mira utenti crypto a livello globale
SCRITTO DA
CONDIVIDI
Malware con Parser per Raccogliere Frasi Chiave
Il team Mobile Threat Intelligence (MTI) di Threat Fabric ha emesso un avviso per gli utenti di criptovalute riguardo a una nuova variante del malware mobile, Crocodilus, che ora include un raccoglitore automatico di frasi chiave. Identificato inizialmente a marzo, questo malware sta espandendo il suo elenco di obiettivi dai paesi europei per includere gli utenti in Sud America.
Nel suo ultimo post sul blog, il team MTI ha dichiarato che la nuova variante di Crocodilus prende di mira specificamente le applicazioni per portafogli di criptovaluta. Ciò che rende questa variante particolarmente preoccupante è il suo parser aggiuntivo, che aiuta ad estrarre frasi chiave e chiavi private da portafogli specifici.
Sebbene ancora basato sulla funzione di registrazione dell’accessibilità presente nelle varianti precedenti, il malware aggiornato include un miglioramento del preprocessing dei dati registrati sullo schermo. Questo miglioramento consente l’estrazione di dati in un formato specifico utilizzando espressioni regolari prima che sia visualizzato.
“Nel nostro blog precedente su Crocodilus, abbiamo sottolineato l’interesse dei cybercriminali per i portafogli di criptovalute poiché stavano facendo aprire agli utenti le app dei portafogli per rubare ulteriormente i dati visualizzati sullo schermo,” ha spiegato il team. “Con un’ulteriore elaborazione eseguita sul lato del dispositivo, gli attori delle minacce ricevono dati preprocessati di alta qualità, pronti per essere utilizzati in operazioni fraudolente come il takeover di account, prendendo di mira gli asset di criptovaluta delle vittime.”
Oltre al parser aggiuntivo, il malware aggiornato è dotato di una funzionalità che consente ai cybercriminali di modificare la lista dei contatti su un dispositivo infetto. Il team MTI sospetta che questa funzione permetta agli attaccanti di aggiungere un numero di telefono sotto un nome convincente, come “Supporto Bancario”. Questo contatto potrebbe quindi essere usato per chiamare la vittima apparendo legittimo, potenzialmente superando le misure di prevenzione delle frodi che segnalano numeri sconosciuti.
Secondo il team MTI, Crocodilus sta conducendo attivamente campagne informatiche in Turchia e Spagna, prendendo di mira gli utenti delle principali banche e piattaforme di criptovalute. In Turchia, si maschera da casinò online e si diffonde attraverso pubblicità dannose, sovrapponendo false pagine di login alle applicazioni finanziarie.
In Spagna, viene distribuito come un falso aggiornamento del browser, mirando a quasi tutte le banche spagnole. Sono state rilevate anche campagne più piccole con obiettivi globali, che colpiscono applicazioni in Argentina, Brasile, negli Stati Uniti, in Indonesia e in India, ha aggiunto il team.
