Команда Threat Fabric по мобильной угрозной разведке (MTI) предупредила пользователей криптовалют о новой версии мобильного вредоносного ПО Crocodilus, теперь оснащенного автоматическим сборщиком сид-фраз.
«Crocodilus» Вредоносное ПО Крадет Мнемонические Фразы, Нацеленное на Пользователей Криптовалют по Вcему Миру
АВТОР
ПОДЕЛИТЬСЯ
Вредоносное ПО с функцией анализа и сбора сид-фраз
Команда по мобильной угрозной разведке (MTI) в Threat Fabric выпустила предупреждение для пользователей криптовалют о новой версии мобильного вредоносного ПО Crocodilus, которое теперь включает в себя автоматический сборщик сид-фраз. Первоначально идентифицированная в марте, эта вредоносная программа, как сообщается, расширяет список своих целей от европейских стран, включая пользователей в Южной Америке.
В своем последнем блог-посте, команда MTI заявила, что новая версия Crocodilus специально нацелена на приложения криптовалютных кошельков. Что делает эту версию особенно тревожной, так это дополнительный парсер, который помогает извлекать сид-фразы и приватные ключи из конкретных кошельков.
Хотя он все еще основан на функции ведения журналов доступности, присутствующей в более ранних версиях, обновленная вредоносная программа включает улучшенную предварительную обработку зарегистрированных данных на экране. Это улучшение позволяет извлекать данные в определенном формате, используя регулярные выражения, прежде чем они будут отображены.
“В нашем предыдущем блоге о Crocodilus мы подчеркнули интерес киберпреступников к криптовалютным кошелькам, так как они заставляли жертв открывать приложения кошельков, чтобы украсть данные, отображаемые на экране,” пояснила команда. “С дополнительной обработкой, выполненной на стороне устройства, злоумышленники получают высококачественные предварительно обработанные данные, готовые к использованию в мошеннических операциях, таких как захват аккаунтов, нацеленные на криптовалютные активы жертв.”
Помимо дополнительного парсера, обновленное вредоносное ПО имеет возможность, позволяющую киберпреступникам изменять список контактов на зараженном устройстве. Команда MTI подозревает, что эта функция позволяет злоумышленникам добавить номер телефона под убедительным именем, например, “Поддержка банка”. Этот контакт затем может использоваться для звонка жертве, выглядя законным, что потенциально обходит меры по предотвращению мошенничества, отмечающие неизвестные номера.
Согласно команде MTI, Crocodilus активно проводит киберкампании в Турции и Испании, нацеленные на пользователей крупных банков и криптовалютных платформ. В Турции он маскируется под онлайн-казино и распространяется через вредоносные объявления, накладывая поддельные страницы входа на финансовые приложения.
В Испании он распространяется как поддельное обновление браузера, нацелившись практически на все испанские банки. Также были обнаружены небольшие кампании с глобальными целями, затрагивающие приложения в Аргентине, Бразилии, США, Индонезии и Индии, добавила команда.
