Echipa Mobile Threat Intelligence (MTI) de la Threat Fabric a avertizat utilizatorii de criptomonede despre o nouă variantă a malware-ului mobil Crocodilus, acum echipată cu un colector automat de fraze seed.
„Crocodilus” Malware Fură Fraze Seed, Țintește Utilizatorii de Criptomonede la Nivel Global
SCRIS DE
DISTRIBUIE
Malware-ul Dispune de un Parser Colector de Fraze Seed
Echipa Mobile Threat Intelligence (MTI) de la Threat Fabric a emis un avertisment pentru utilizatorii de criptomonede referitor la o nouă variantă de malware mobil, Crocodilus, care acum include un colector automat de fraze seed. Identificat inițial în martie, acest malware își extinde acum lista de ținte din țările europene pentru a include utilizatorii din America de Sud.
În ultimul său articol pe blog, echipa MTI a declarat că noua variantă a Crocodilus vizează în mod specific aplicațiile portofelelor de criptomonede. Ceea ce face ca această variantă să fie deosebit de îngrijorătoare este parserul său suplimentar, care ajută la extragerea frazelor seed și a cheilor private din anumite portofele.
Deși se bazează încă pe funcția de jurnalizare a accesibilității prezentă în variantele anterioare, malware-ul actualizat include o preprocesare îmbunătățită a datelor afișate pe ecran. Această îmbunătățire permite extragerea datelor într-un format specific folosind expresii regulate înainte ca acestea să fie afișate.
“În articolul nostru anterior despre Crocodilus, am evidențiat interesul infractorilor cibernetici pentru portofelele de criptomonede deoarece îi forțau pe victime să deschidă aplicațiile portofelului pentru a fura mai departe datele afișate pe ecran,” a explicat echipa. “Cu o analiză suplimentară efectuată pe partea de dispozitiv, actorii rău intenționați primesc date preprocesate de înaltă calitate, gata de utilizare în operațiuni frauduloase precum preluarea conturilor, vizând activele de criptomonede ale victimelor.”
Dincolo de parserul suplimentar, malware-ul actualizat dispune de o capacitate ce permite infractorilor cibernetici să modifice lista de contacte de pe un dispozitiv infectat. Echipa MTI suspectează că această funcționalitate permite atacatorilor să adauge un număr de telefon sub un nume convingător, cum ar fi “Suport Banca.” Acest contact ar putea apoi să fie folosit pentru a suna victima în timp ce pare legitim, putând astfel să evite măsurile de prevenire a fraudei care marchează numerele necunoscute.
Potrivit echipei MTI, Crocodilus desfășoară activ campanii cibernetice în Turcia și Spania, țintind utilizatorii marilor bănci și platforme de criptomonede. În Turcia, se deghizează într-un cazinou online și se răspândește prin reclame malițioase, suprapunând pagini de autentificare false pe aplicațiile financiare.
În Spania, este distribuit ca o falsă actualizare a browser-ului, vizând aproape toate băncile spaniole. Campanii mai mici au fost de asemenea detectate cu ținte globale, afectând aplicațiile din Argentina, Brazilia, SUA, Indonezia și India, a adăugat echipa.
