A equipe de Inteligência de Ameaças Móveis (MTI) da Threat Fabric alertou os usuários de criptomoedas sobre uma nova variante do malware móvel Crocodilus, agora equipada com um coletor automatizado de frases-semente.
'Malware 'Crocodilus' Rouba Frases Seed, Alveja Usuários de Criptografia Globalmente
ESCRITO POR
PARTILHAR
Malware Apresenta Analisador de Coleta de Frase-Semente
A equipe de Inteligência de Ameaças Móveis (MTI) da Threat Fabric emitiu um alerta aos usuários de criptomoedas sobre uma nova variante do malware móvel, Crocodilus, que agora inclui um coletor automatizado de frases-semente. Originalmente identificado em março, este malware está supostamente expandindo sua lista de alvos de países europeus para incluir usuários na América do Sul.
Em seu mais recente post no blog, a equipe MTI declarou que a nova variante do Crocodilus direciona especificamente para aplicativos de carteira de criptomoedas. O que torna esta variante particularmente preocupante é seu analisador adicional, que ajuda a extrair frases-semente e chaves privadas de carteiras específicas.
Embora ainda baseado no recurso de registro de acessibilidade presente em variantes anteriores, o malware atualizado inclui um pré-processamento aprimorado dos dados exibidos na tela. Esta melhoria permite a extração de dados em um formato específico usando expressões regulares antes de serem exibidos.
“Em nosso blog anterior sobre o Crocodilus, destacamos o interesse dos cibercriminosos nas carteiras de criptomoedas, pois estavam fazendo vítimas abrirem os aplicativos de carteira para roubar mais dados exibidos na tela”, explicou a equipe. “Com o processamento adicional realizado no lado do dispositivo, os agentes maliciosos recebem dados pré-processados de alta qualidade, prontos para uso em operações fraudulentas como tomada de contas, visando ativos de criptomoedas das vítimas.”
Além do analisador adicional, o malware atualizado possui uma capacidade que permite aos cibercriminosos modificar a lista de contatos em um dispositivo infectado. A equipe MTI suspeita que este recurso permita que os atacantes adicionem um número de telefone sob um nome convincente, como “Suporte Bancário”. Este contato poderia então ser usado para ligar para a vítima enquanto aparentassem ser legítimos, potencialmente ultrapassando medidas de prevenção de fraudes que identificam números desconhecidos.
De acordo com a equipe MTI, o Crocodilus está conduzindo ativamente campanhas cibernéticas na Turquia e na Espanha, tendo como alvo usuários de grandes bancos e plataformas de criptomoedas. Na Turquia, disfarça-se como um cassino online e se espalha através de anúncios maliciosos, sobrepondo páginas de login falsas em aplicativos financeiros.
Na Espanha, é distribuído como uma atualização falsa de navegador, visando quase todos os bancos espanhóis. Campanhas menores também foram detectadas com alvos globais, afetando aplicativos na Argentina, Brasil, EUA, Indonésia e Índia, acrescentou a equipe.
