Zespół Mobile Threat Intelligence (MTI) z Threat Fabric ostrzegł użytkowników kryptowalut przed nową wersją mobilnego złośliwego oprogramowania Crocodilus, która teraz jest wyposażona w automatyczny kolekcjoner fraz startowych.
'Crocodilus' Malware kradnie frazy seed, celując w użytkowników kryptowalut na całym świecie
NAPISAŁ
UDOSTĘPNIJ
Złośliwe oprogramowanie wyposażone w parser zbierający frazy startowe
Zespół Mobile Threat Intelligence (MTI) z Threat Fabric wydał ostrzeżenie dla użytkowników kryptowalut o nowej wersji mobilnego złośliwego oprogramowania, Crocodilus, która teraz zawiera automatyczny kolekcjoner fraz startowych. Pierwotnie zidentyfikowany w marcu, złośliwe oprogramowanie rzekomo rozszerza swoją listę celów z krajów europejskich, aby objąć również użytkowników w Ameryce Południowej.
W swoim najnowszym poście na blogu, zespół MTI stwierdził, że nowy wariant Crocodilus celuje szczególnie w aplikacje portfeli kryptowalut. To, co sprawia, że ten wariant jest szczególnie niepokojący, to dodatkowy parser, który pomaga wydobywać frazy startowe i klucze prywatne z określonych portfeli.
Mimo że nadal opiera się na funkcji logowania dostępności obecnej w wcześniejszych wariantach, zaktualizowane złośliwe oprogramowanie zawiera udoskonaloną wstępną obróbkę zapisanych danych na ekranie. To ulepszenie pozwala na wydobycie danych w określonym formacie za pomocą wyrażeń regularnych, zanim zostaną wyświetlone.
“W naszym poprzednim wpisie na blogu o Crocodilus, podkreśliliśmy zainteresowanie cyberprzestępców portfelami kryptowalut, ponieważ zmuszali ofiary do otwierania aplikacji portfeli, aby dalej kraść dane wyświetlane na ekranie,” wyjaśnił zespół. “Dzięki dodatkowej obróbce przeprowadzonej po stronie urządzenia, aktorzy zagrożeń otrzymują wysokiej jakości wstępnie przetworzone dane, gotowe do użycia w operacjach oszukańczych, takich jak przejmowanie konta, celując w aktywa kryptowalutowe ofiar.”
Poza dodatkowym parserem, zaktualizowane złośliwe oprogramowanie zawiera funkcjonalność, która pozwala cyberprzestępcom modyfikować listę kontaktów na zainfekowanym urządzeniu. Zespół MTI podejrzewa, że ta funkcja pozwala atakującym dodawać numer telefonu pod przekonującą nazwą, taką jak “Wsparcie Banku”. Ten kontakt mógłby być następnie użyty do dzwonienia do ofiary, wydając się legalnym, co potencjalnie pozwala obejść środki zapobiegania oszustwom, które oznaczają nieznane numery.
Według zespołu MTI, Crocodilus aktywnie prowadzi kampanie cybernetyczne w Turcji i Hiszpanii, celując w użytkowników głównych banków i platform kryptowalutowych. W Turcji udaje kasyno online i rozprzestrzenia się przez złośliwe reklamy, nakładając fałszywe strony logowania na aplikacje finansowe.
W Hiszpanii dystrybuowany jest jako fałszywa aktualizacja przeglądarki, celując w prawie wszystkie hiszpańskie banki. Wykryto także mniejsze kampanie z globalnymi celami, wpływające na aplikacje w Argentynie, Brazylii, USA, Indonezji i Indiach, dodał zespół.
