Mobilna ekipa Threat Fabric za mobilno grožnjo (MTI) je opozorila uporabnike kriptovalut na novo različico mobilne zlonamerne programske opreme Crocodilus, ki je zdaj opremljena z avtomatiziranim zbiralnikom semenskih fraz.
'Crocodilus' zlonamerna programska oprema krade semenske fraze, cilja na uporabnike kriptovalut po vsem svetu
NAPISAL
DELI
Zlonamerna programska oprema s funkcijo zbiranja semenskih fraz
Ekipa za mobilno grožnjo (MTI) pri Threat Fabric je izdala opozorilo uporabnikom kriptovalut glede nove različice mobilne zlonamerne programske opreme, Crocodilus, ki zdaj vključuje avtomatizirani zbiralnik semenskih fraz. Prvotno identificirana v marcu, ta zlonamerna programska oprema naj bi razširila svoj seznam tarč iz evropskih držav, da vključuje uporabnike v Južni Ameriki.
V svojem najnovejšem blog prispevku je ekipa MTI navedla, da nova različica Crocodilus posebej cilja na aplikacije za kriptovalute. Kar to različico naredi posebej zaskrbljujočo, je dodaten razčlenjevalnik, ki pomaga pri izvleku semenskih fraz in zasebnih ključev iz določenih denarnic.
Medtem ko se še vedno opira na funkcijo beleženja dostopnosti, prisotno v prejšnjih različicah, posodobljena zlonamerna programska oprema vključuje izboljšano predobdelavo zabeleženih podatkov na zaslonu. Ta izboljšava omogoča izvleko podatkov v določenem formatu z uporabo regularnih izrazov, preden so prikazani.
“V našem prejšnjem blogu o Crocodilusu smo poudarili interes kiberkriminalcev za kriptovalute denarnice, saj so žrtve prisilili, da odprejo aplikacije za denarnico, da bi nadalje ukradli podatke, prikazane na zaslonu,” je pojasnila ekipa. “Z dodatnim razčlenjevanjem, ki se izvaja na strani naprave, prejmejo grožnje visoko kakovostne predobdelane podatke, pripravljene za uporabo v goljufivih operacijah, kot so prevzemi računov, ciljanje na kriptovalute žrtev.”
Poleg dodatnega razčlenjevalnika posodobljena zlonamerna programska oprema vključuje funkcijo, ki omogoča kiberkriminalcem spreminjanje imenika stikov na okuženi napravi. Ekipa MTI sumi, da ta funkcija omogoča napadalcem dodati telefonsko številko pod prepričljivo ime, kot je “Podpora banke.” Ta stik bi lahko nato uporabili za klicanje žrtve, medtem ko se prikazuje kot zakonit, kar bi lahko obšlo ukrepe preprečevanja goljufij, ki označujejo neznane številke.
Po navedbah ekipe MTI Crocodilus aktivno izvaja kiber kampanje v Turčiji in Španiji, ciljajoč na uporabnike večjih bank in kripto platform. V Turčiji se izdaja za spletni kazino in širi prek zlonamernih oglasov, prekrivajoč lažne strani za prijavo na finančne aplikacije.
V Španiji se distribuira kot lažna posodobitev brskalnika, usmerjena na skoraj vse španske banke. Odkrite so bile tudi manjše kampanje z globalnimi cilji, ki vplivajo na aplikacije v Argentini, Braziliji, ZDA, Indoneziji in Indiji, je dodala ekipa.
