Вредонос Crocodilus нацелен на владельцев криптокошельков в Android

Вредонос Crocodilus нацелен на владельцев криптокошельков в Android

Для Android-устройств появилась новая угроза — вредоносное ПО под названием Crocodilus. Эта программа незаметно охотится за фразами восстановления криптокошельков, маскируясь под уведомление о необходимости создания резервной копии данных. Пользователю предлагается «срочно сохранить ключ», иначе он рискует лишиться доступа к своим активам.

Несмотря на недавнее появление, Crocodilus уже проявил себя как полноценный инструмент для захвата управления устройством, сбора конфиденциальной информации и выполнения команд на расстоянии.

По данным специалистов ThreatFabric, вредонос попадает на смартфоны при помощи продуманного дроппера, обходящего встроенные механизмы защиты Android, начиная с версии 13.

Этот дроппер умело минует Play Protect и снимает ограничения, установленные для службы специальных возможностей. После проникновения на устройство начинается активная фаза атаки, при которой используется социальное давление. На экран выводится сообщение, имитирующее системное уведомление с указанием на срочную необходимость «сохранить начальную фразу в настройках». Временное ограничение — 12 часов — добавляет ощущения срочности.

В этот момент и происходит главная уловка. Под влиянием тревожного предупреждения пользователь открывает раздел с фразой восстановления, где Crocodilus запускает механизм перехвата текста. Используется доступ к службе, предназначенной для помощи людям с ограничениями по зрению или моторике. Через неё вредонос отслеживает ввод текста, перемещения по экрану и поведение пользователя в приложениях.

Получив эти данные, злоумышленники легко получают полный доступ к кошельку и в кратчайшие сроки выводят все цифровые средства.

На сегодняшний день зафиксированы случаи использования Crocodilus в Испании и Турции. Жертвами становились не только владельцы криптовалют, но и клиенты банков, расположенных в этих странах. По техническим деталям вредоноса и особенностям его кода можно предположить, что он создан турецкоговорящими разработчиками.

Точная схема проникновения остаётся под вопросом, но известно, что дропперы распространяются через вредоносные веб-страницы, ложные промоакции в соцсетях, сообщения в мессенджерах и сторонние площадки для загрузки приложений.

Как только вредонос запускается, он запрашивает разрешения, предназначенные для помощи людям с особыми потребностями. С их помощью Crocodilus получает возможность наблюдать за действиями пользователя, управлять интерфейсом, запускать сторонние приложения и взаимодействовать с экраном.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: