網絡安全研究人員最近確定了一種名為Crocodilus的新的,“功能強大的”移動銀行惡意軟件,該惡意軟件針對Android設備,並使用社交工程來使用戶贈送其敏感的數字貨幣包憑據。著名的網絡安全企業威脅結構在他們最近的研究中發現了這種惡意軟件。
威脅面料分析師指出,即使是新的,它幾乎具有現代銀行惡意軟件所需的所有功能,例如覆蓋攻擊,鑰匙扣,遠程訪問和隱藏的遙控器。但這不是黑客第一次設計如此復雜的Android惡意軟件來竊取加密貨幣私鑰。
2024年10月,聯邦調查局(FBI)發出警告,警告類似的惡意軟件(Spyagent),他們與朝鮮黑客有關。
但是,X上發布的威脅面料說,這款新的移動銀行木馬(Crocodilus)的不同是“設備超越和高級憑證盜竊”。進一步支持這一點,他們的研究證實,該惡意軟件通過可以繞過Android 13+限制的專有滴管傳播。
資料來源:威脅織物鱷魚使用假屏幕來針對銀行和加密帳戶
正如分析師指出的那樣,鱷魚惡意軟件採用類似於當代設備超越銀行木馬類似的作案操作。 ”他們還說,在由專有滴管安裝後,惡意軟件要求打開“可訪問性服務”。
它連接到命令和控制服務器(C2)服務器,以進行諸如覆蓋層和其他竊取憑據的工具之類的說明。在早期階段,移動威脅情報小組確定了西班牙和土耳其的威脅,以幾個數字貨幣包為目標。
隨著惡意軟件適應不同的目標,團隊說:“隨著惡意軟件的發展,我們希望這種模式在世界各地增長。”
此外,惡意軟件通過使用RAT命令來觸發Google Authenticator應用程序屏幕上內容的屏幕捕獲,從而捕獲兩因素身份驗證(2FA)。 Crocodilus拍攝了在Google Authenticator應用程序屏幕上顯示的代碼圖片,並將其發送到C2。
惡意軟件誘使用戶提供敏感數據
與其他特洛伊人不同,鱷魚覆蓋了目標數字貨幣包,並要求受害者備份他們的錢包鑰匙。 “它說,’轉到設置並在12小時內備份錢包鑰匙。屏幕頂部的文字警告您,如果您不這樣做,則該應用程序將重置,您可能會丟失錢包。
該黑客使用社會工程來指導受害者的種子短語。反過來,這允許鱷魚使用其可訪問性記錄器獲取文本。有了這種信息,攻擊者可以完全控制錢包並完全排幹,”威脅面料分析師說。
現在,Crocodilus可能會對Android使用者構成嚴重威脅,特別是對於那些持有或參與加密的人。它使用了幾種高級策略。因此,重要的是,在授予可訪問性服務許可之前,始終仔細檢查任何應用程序,並且切勿共享您的種子短語。如果有些奇怪的是,最好只有在完全理解它之後遠離它或使用它。最後,保持應用程序更新也可以幫助防止此類威脅。
資訊來源:由0x資訊編譯自TODAYQ。版權歸作者Vijayant Shankar所有,未經許可,不得轉載