Распространение нового вредоносного ПО
Новая разновидность вредоносного ПО нацелилась на мобильные банковские приложения и криптокошельки на устройствах Android. Компания по предотвращению мошенничества ThreatFabric сообщает, что это новое вредоносное ПО, названное «Crocodilus», представляет собой троянца, который использует функцию удаленного управления, наложение черного экрана и продвинутый сбор данных.
Функции и методы работы Crocodilus
Crocodilus использует дроппер-вредоносное ПО, предназначенное для обхода ограничений Android, что позволяет ему получать доступ к системам жертв. После установки троян запрашивает у жертвы разрешение на активацию службы доступности. Затем вредоносное ПО использует наложения, которые запускают обманчивые приложения поверх настоящих приложений жертв, чтобы заставить их раскрыть свои учетные данные.
Представитель ThreatFabric пояснил: «Начальные кампании, зафиксированные нашей командой по мобильным угрозам, показывают, что мишени в основном находятся в Испании и Турции, а также некоторые криптокошельки. Мы ожидаем, что распространение этого вредоносного ПО увеличится на глобальном уровне по мере его развития.»
Кража данных и кейлоггинг
Еще одной функцией кражи данных Crocodilus является кейлоггер. Однако более корректно его называть Accessibility Logger: это вредоносное ПО отслеживает все события доступности и фиксирует все элементы, отображаемые на экране. Таким образом, оно эффективно записывает все изменения текста, сделанные жертвой, что делает его функционально подобным кейлоггеру, но его возможности выходят за рамки лишь простого логгирования.
Обманные сообщения
Компания по предотвращению мошенничества также отмечает, что когда жертвы вводят свои PIN-коды или пароли в наложения криптокошелька Crocodilus, вредоносное ПО отображает сообщение:
«Сделайте резервную копию вашего ключа кошелька в настройках в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к вашему кошельку.»
Данное сообщение предназначено для того, чтобы убедить жертв перейти к своим сид-фразам, которые затем скрытно крадется вредоносным ПО с помощью его логгера доступности.
