Het Mobile Threat Intelligence (MTI) team van Threat Fabric heeft cryptocurrency gebruikers gewaarschuwd voor een nieuwe variant van de Crocodilus mobiele malware, die nu is uitgerust met een geautomatiseerde seed phrase collector.
'Crocodilus' Malware Steelt Seedzinnen, Richt Zich Wereldwijd op Crypto Gebruikers
GESCHREVEN DOOR
DELEN
Malware met Seed-Phrase-Verzamelende Parser
Het Mobile Threat Intelligence (MTI) team van Threat Fabric heeft cryptocurrency gebruikers gewaarschuwd voor een nieuwe variant van mobiele malware, Crocodilus, die nu een geautomatiseerde seed phrase collector bevat. Oorspronkelijk geïdentificeerd in maart, breidt deze malware naar verluidt zijn doelwitlijst uit van Europese landen naar gebruikers in Zuid-Amerika.
In hun laatste blogpost meldde het MTI-team dat de nieuwe variant van Crocodilus specifiek gericht is op cryptocurrency wallet applicaties. Wat deze variant bijzonder zorgwekkend maakt, is de extra parser die helpt bij het extraheren van seed phrases en private keys uit specifieke wallets.
Hoewel het nog steeds gebaseerd is op de toegankelijkheidslogfunctie die aanwezig was in eerdere varianten, bevat de bijgewerkte malware verbeterde voorverwerking van gelogde gegevens op het scherm. Deze verbetering maakt het mogelijk om gegevens in een specifiek formaat te extraheren met behulp van reguliere expressies voordat ze worden weergegeven.
“In onze vorige blog over Crocodilus benadrukten we de interesse van cybercriminelen in cryptocurrency wallets, aangezien ze slachtoffers dwongen de wallet apps te openen om verdere gegevens op het scherm te stelen,” legde het team uit. “Met extra parsing aan de apparaatkant ontvangen dreigingsactoren hoogwaardige voorbewerkte gegevens, klaar om te gebruiken in frauduleuze operaties zoals accountovernames, gericht op cryptocurrency activa van slachtoffers.”
Naast de extra parser heeft de bijgewerkte malware een functie waarmee cybercriminelen de contactlijst op een geïnfecteerd apparaat kunnen wijzigen. Het MTI-team vermoedt dat deze functie aanvallers in staat stelt om een telefoonnummer toe te voegen onder een overtuigende naam, zoals “Bankondersteuning”. Dit contact zou dan kunnen worden gebruikt om het slachtoffer te bellen terwijl het legitiem lijkt, waardoor mogelijk fraudepreventiemaatregelen die onbekende nummers markeren, worden omzeild.
Volgens het MTI-team is Crocodilus actief in cybercampagnes in Turkije en Spanje, gericht op gebruikers van grote banken en cryptocurrency-platforms. In Turkije vermomt het zich als een online casino en verspreidt zich via kwaadaardige advertenties, waarbij het valse inlogpagina’s overlayt op financiële toepassingen.
In Spanje wordt het verspreid als een nep-browserupdate, gericht op bijna alle Spaanse banken. Kleinere campagnes zijn ook gedetecteerd met wereldwijde doelen, waarbij applicaties in Argentinië, Brazilië, de VS, Indonesië en India worden getroffen, voegde het team eraan toe.
