Команда Mobile Threat Intelligence (MTI) від Threat Fabric попередила користувачів криптовалют про новий варіант мобільного шкідливого ПЗ Crocodilus, тепер обладнаний автоматизованим зчитувачем seed-фраз.
'Crocodilus' шкідливе програмне забезпечення краде seed-фрази, націлене на користувачів криптовалюти по всьому світу
АВТОР
ПОДІЛИТИСЯ
Шкідливе ПЗ з функцією збору seed-фраз
Команда Mobile Threat Intelligence (MTI) від Threat Fabric попередила користувачів криптовалют про новий варіант мобільного шкідливого ПЗ, Crocodilus, яке тепер містить автоматизований зчитувач seed-фраз. Спочатку виявлене у березні, це шкідливе ПЗ начебто розширило свій список цілей з європейських країн на користувачів у Південній Америці.
У своєму останньому блозі команда MTI заявила, що новий варіант Crocodilus спеціально націлений на додатки криптовалютних гаманців. Особливу занепокоєність викликає новий парсер, який допомагає вилучати seed-фрази та закриті ключі зі специфічних гаманців.
Хоча й досі базується на функції протоколювання доступу, що була присутня у попередніх варіантах, оновлене шкідливе ПЗ включає покращену попередню обробку даних, записаних на екрані. Це вдосконалення дозволяє вилучати дані у специфічному форматі за допомогою регулярних виразів перед тим, як вони будуть показані.
“У нашому попередньому блозі про Crocodilus ми звертали увагу на зацікавленість кіберзлочинців у криптовалютних гаманцях, оскільки жертви були змушені відкривати додатки гаманців, щоб злочинці могли далі красти дані, що відображались на екрані,” пояснила команда. “З додатковою обробкою безпосередньо на пристрої, загрозові актори отримують високоякісні попередньо оброблені дані, готові до використання у шахрайських операціях, таких як захоплення акаунтів, націлених на криптовалютні активи жертв.”
Крім додаткового парсера, оновлене шкідливе ПЗ має можливість, що дозволяє кіберзлочинцям модифікувати список контактів на зараженому пристрої. Команда MTI підозрює, що ця функція дозволяє зловмисникам додати номер телефону під переконливою назвою, такою як “Підтримка банку”. Цей контакт може використовуватись для дзвінків жертві, виглядаючи легітимно, що потенційно може обійти заходи запобігання шахрайству, які відзначають невідомі номери.
За словами команди MTI, Crocodilus активно проводить кіберкампанії в Туреччині та Іспанії, націлюючись на користувачів великих банків і криптовалютних платформ. У Туреччині він маскується під онлайн-казино і поширюється через шкідливі реклами, накладаючи фальшиві сторінки входу на фінансові додатки.
В Іспанії він поширюється як фальшиве оновлення браузера, націлюючись на майже всі іспанські банки. Також виявлено менші кампанії з глобальними цілями, які вражають додатки в Аргентині, Бразилії, США, Індонезії та Індії, додала команда.
