🛃 I ricercatori di cybersecurity di Threat Fabric hanno scoperto una nuova famiglia di malware mobile che può ingannare gli utenti Android facendoli rivelare le loro frasi seed del portafoglio di criptovalute.
📃 Secondo un rapporto del 28 marzo, il malware Crocodilus utilizza schermi falsi sopra app legittime e mostra un avviso sulla necessità di eseguire il backup della chiave del portafoglio crypto entro un certo periodo di tempo.
🗣️ “Dopo che la vittima inserisce la password dell'app, appare un messaggio sullo schermo: 'Esegui il backup della tua chiave del portafoglio nelle Impostazioni entro 12 ore. Altrimenti, l'app verrà reimpostata e potresti perdere l'accesso al tuo portafoglio,'” spiega Threat Fabric.
🧙 Questo trucco di ingegneria sociale indirizza l'utente alla sezione della frase seed, che consente a Crocodilus di raccogliere queste informazioni tramite il logger di accessibilità di Android. Una volta che gli aggressori ottengono la frase seed, ottengono il pieno controllo del portafoglio e possono 'svuotarlo completamente'.
🐊 Crocodilus è un nuovo malware che, secondo gli esperti, ha tutte le caratteristiche del software di hacking moderno, comprese le attacchi tramite sovrapposizioni dello schermo, raccolta dati avanzata tramite cattura dello schermo con informazioni sensibili (come le password) e accesso remoto per ottenere il controllo del dispositivo infetto.
⚙️ L'infezione iniziale si verifica quando il malware viene scaricato involontariamente come parte di un altro software che elude la protezione di Android 13 e altri meccanismi di sicurezza.
🛡️ Una volta installato 🐊 Crocodilus richiede che il servizio di accessibilità venga abilitato, il che consente agli hacker di accedere al dispositivo.
“Una volta concessi questi diritti, il malware si collega al server di comando e controllo (C2) per ricevere istruzioni, inclusa una lista di applicazioni target e sovrapposizioni dello schermo,” nota Threat Fabric.
🔐 Il malware funziona continuamente, monitorando l'avvio delle applicazioni e mostrando sovrapposizioni per intercettare le credenziali. Quando viene aperta l'app bancaria o di criptovaluta mirata, viene lanciata una schermata falsa sopra di essa, e gli hacker prendono il controllo del dispositivo.
“Con dati personali e credenziali rubati, gli aggressori possono prendere il pieno controllo del dispositivo della vittima utilizzando l'accesso remoto integrato e effettuare segretamente transazioni fraudolente,” avvertono gli esperti.