Threat Fabric sitt Mobile Threat Intelligence (MTI) team har advart kryptovaluta-brukere om en ny variant av Crocodilus mobil malware, nå utstyrt med en automatisert gjenoppsamlingsmekanisme for sikkerhetsfrase.
'Crocodilus' skadelig programvare stjeler seed-passord, retter seg mot kryptobrukere globalt
Denne artikkelen ble publisert for mer enn et år siden. Noe informasjon er kanskje ikke lenger aktuell.
SKREVET AV
DEL
Malware har sikkerhetsfrase-samling parser
Mobile Threat Intelligence (MTI) teamet hos Threat Fabric har utstedt en advarsel til kryptovaluta-brukere om en ny variant av mobil malware, Crocodilus, som nå inkluderer en automatisert gjenoppsamlingsmekanisme for sikkerhetsfrase. Opprinnelig identifisert i mars, utvider denne malware etter sigende sin målliste fra europeiske land til også å inkludere brukere i Sør-Amerika.
I sitt siste blogginnlegg, uttalte MTI-teamet at den nye varianten av Crocodilus spesifikt retter seg mot kryptovaluta-lommebøker. Det som gjør denne varianten spesielt bekymringsverdig, er dens tillegg av en parser som hjelper til med å trekke ut sikkerhetsfraser og private nøkler fra spesifikke lommebøker.
Selv om den fortsatt er basert på tilgjengelighetsloggingsfunksjonen til stede i tidligere varianter, inkluderer den oppdaterte malware forbedret forbehandling av logget data på skjermen. Denne forbedringen gjør det mulig å trekke ut data i et spesifikt format ved bruk av regulære uttrykk før det vises.
“I vår tidligere blogg om Crocodilus, fremhevet vi cyberkriminelles interesse i kryptovaluta-lommebøker, da de fikk ofre til å åpne lommebok-appene for å videre stjele dataene som ble vist på skjermen,” forklarte teamet. “Med tilleggsparsing gjort på enhetssiden, mottar trusselaktører høy-kvalitets forbehandlet data, klar til bruk i svindeloperasjoner som kontoovertakelse, og målretter offerets kryptovaluta-verdier.”
Utover den ekstra parseren, har den oppdaterte malware en funksjon som tillater cyberkriminelle å endre kontaktlisten på en infisert enhet. MTI-teamet mistenker at denne funksjonen gir angripere mulighet til å legge til et telefonnummer under et overbevisende navn, som “Bank Support.” Denne kontakten kan deretter brukes til å ringe offeret med en legitim opptreden, potensielt omgå svindelforebyggende tiltak som flagger ukjente numre.
Ifølge MTI-teamet gjennomfører Crocodilus aktivt cyberkampanjer i Tyrkia og Spania, og retter seg mot brukere av store banker og kryptovaluta-plattformer. I Tyrkia forkler den seg som et online kasino og sprer seg gjennom ondsinnede annonser, overlagrer falske innloggingssider på finansielle applikasjoner.
I Spania distribueres den som en falsk nettleseroppdatering, rettet mot nesten alle spanske banker. Mindre kampanjer har også blitt oppdaget med globale mål, påvirker applikasjoner i Argentina, Brasil, USA, Indonesia og India, la teamet til.
