La firma de ciberseguridad Threat Fabric dice que ha encontrado una nueva familia de malware para dispositivos móviles que puede abrir un overlay falso para ciertas aplicaciones, engañando a usuarios de Android para que proporcionen sus frases semilla de criptomonedas mientras toma control del dispositivo.
Los analistas de Threat Fabric dijeron en un informe del 28 de marzo que el malware Crocodilus usa un olverlay de pantalla que advierte a los usuarios que respalden su clave de billetera criptográfica antes de una fecha límite específica o arriesgarse a perder el acceso.
“Una vez que una víctima proporciona una contraseña desde la aplicación, el overlay mostrará un mensaje: Respalde su clave de billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se restablecerá y podría perder el acceso a su billetera”, dijo Threat Fabric.
“Este truco de ingeniería social guía a la víctima para que navegue hasta su frase semilla de la billetera, permitiendo a Crocodilus recolectar el texto usando su registrador de accesibilidad”.
Fuente: Threat Fabric
Una vez que los actores malintencionados tienen la frase semilla, pueden tomar el control total de la billetera y robar los fondos.
Threat Fabric dice que, a pesar de ser un malware nuevo, Crocodilus tiene todas las características del malware bancario moderno, con ataques de overlay, recolección avanzada de datos a través de la captura de pantalla de información sensible como contraseñas y acceso remoto para tomar control del dispositivo infectado.
La infección inicial ocurre al descargar inadvertidamente el malware en otro software que evade las protecciones de seguridad de Android 13, según Threat Fabric.
Una vez instalado, Crocodilus solicita que se habilite el servicio de accesibilidad, lo que permite a los hackers obtener acceso al dispositivo.
“Una vez concedido, el malware se conecta al servidor de comando y control (C2) para recibir instrucciones, incluyendo la lista de aplicaciones objetivo y los overlays a usar”, dijo Threat Fabric.
Una vez instalado, Crocodilus pide que se habilite el servicio de accesibilidad, lo que permite a hackers acceder al dispositivo. Fuente: Threat Fabric
Funciona continuamente, monitoreando los lanzamientos de aplicaciones y mostrando overlays para interceptar credenciales. Cuando se abre una aplicación bancaria o de criptomonedas objetivo, el overlay falso se abre encima y silencia el sonido mientras los hackers toman control del dispositivo.
“Con la información personal identificable (PII) y las credenciales robadas, los actores de la amenaza pueden tomar el control total del dispositivo de una víctima usando el acceso remoto incorporado, completando transacciones fraudulentas sin ser detectados”, dijo Threat Fabric.
El equipo Mobile Threat Intelligence de Threat Fabric ha encontrado que el malware ataca a usuarios en Turquía y España, pero dijo que el alcance de uso probablemente se ampliará con el tiempo.
También especulan que los desarrolladores podrían hablar turco, basándose en las notas en el código, y añadieron que un actor de amenaza conocido como Sybra u otro hacker probando nuevo software podría estar detrás del malware.
“La aparición del troyano bancario móvil Crocodilus marca una escalada significativa en la sofisticación y el nivel de amenaza que representa el malware moderno”.
“Con sus avanzadas capacidades de toma de control de dispositivos, funciones de control remoto y el despliegue de ataques de overlay negro desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en amenazas recién descubiertas”, añadió Threat Fabric.
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.
