Phần mềm độc hại mới 'Crocodilus' trên Android chiếm quyền điều khiển điện thoại để đánh cắp tiền điện tử

Phần mềm độc hại này triển khai một lớp phủ giả mạo trên các ứng dụng ngân hàng và tiền điện tử mục tiêu, tắt tiếng thiết bị để lén lút thu thập thông tin đăng nhập và cụm từ hạt giống của người dùng.

Một công ty an ninh mạng đã phát hiện ra một loại phần mềm độc hại mới trên Android có tên là Crocodilus, được thiết kế để lừa người dùng tiết lộ cụm từ hạt giống tiền điện tử của họ thông qua một lớp phủ giả mạo trên thiết bị của họ.

Theo báo cáo được công bố vào ngày 28 tháng 3, Crocodilus sử dụng một lớp phủ màn hình cảnh báo người dùng sao lưu khóa ví tiền điện tử của họ trước một thời hạn nhất định, đe dọa mất quyền truy cập nếu không tuân thủ.

“Khi nạn nhân nhập mật khẩu, lớp phủ sẽ hiển thị một thông báo thúc giục họ sao lưu khóa ví của mình trong vòng 12 giờ hoặc có nguy cơ mất quyền truy cập vào ví của họ,” báo cáo cho biết.

Chiến thuật kỹ thuật xã hội này đánh lừa nạn nhân điều hướng đến cụm từ hạt giống của họ, cho phép Crocodilus thu thập văn bản thông qua một trình ghi nhật ký truy cập.

Với cụm từ hạt giống trong tay, kẻ tấn công có thể kiểm soát hoàn toàn ví và rút cạn nó.

Mặc dù là một mối đe dọa mới, Crocodilus thể hiện các tính năng điển hình của phần mềm độc hại ngân hàng tiên tiến, bao gồm các cuộc tấn công lớp phủ, thu thập dữ liệu tinh vi thông qua việc chụp màn hình dữ liệu nhạy cảm như mật khẩu, và truy cập từ xa để kiểm soát thiết bị bị nhiễm.

Nhiễm trùng ban đầu thường xảy ra khi người dùng vô tình tải xuống phần mềm độc hại được gắn kèm với phần mềm khác có thể vượt qua Android 13 và các biện pháp bảo mật khác.

Sau khi cài đặt, Crocodilus yêu cầu dịch vụ truy cập được kích hoạt, điều này cung cấp cho hacker quyền truy cập vào thiết bị.

“Khi được cấp quyền, phần mềm độc hại kết nối với máy chủ điều khiển và kiểm soát để nhận hướng dẫn, bao gồm danh sách các ứng dụng mục tiêu và các lớp phủ sẽ được sử dụng,” báo cáo giải thích.

Phần mềm độc hại hoạt động liên tục, theo dõi việc khởi chạy ứng dụng và hiển thị các lớp phủ để chặn thông tin đăng nhập. Khi một ứng dụng ngân hàng hoặc tiền điện tử mục tiêu được mở, lớp phủ giả mạo sẽ khởi chạy và tắt tiếng thiết bị, cho phép hacker kiểm soát.

“Với thông tin cá nhân và thông tin đăng nhập bị đánh cắp, các diễn viên đe dọa có thể kiểm soát hoàn toàn thiết bị của nạn nhân thông qua truy cập từ xa tích hợp, thực hiện các giao dịch gian lận mà không bị phát hiện,” báo cáo cảnh báo.

Nhóm Tình báo Mối đe dọa Di động đã xác định rằng Crocodilus nhắm vào người dùng chủ yếu ở Thổ Nhĩ Kỳ và Tây Ban Nha, với tiềm năng phân phối rộng hơn trong tương lai.

Có suy đoán rằng các nhà phát triển có thể là người Thổ Nhĩ Kỳ, dựa trên các chú thích mã, và có khả năng một nhóm hacker được biết đến hoặc một cá nhân thử nghiệm phần mềm độc hại mới có thể đứng sau Crocodilus.

“Sự xuất hiện của Trojan ngân hàng di động Crocodilus đánh dấu một sự gia tăng đáng kể về sự tinh vi và mức độ đe dọa của phần mềm độc hại hiện đại.”

“Với khả năng chiếm quyền thiết bị tiên tiến, các tính năng điều khiển từ xa, và việc triển khai sớm các cuộc tấn công lớp phủ đen, Crocodilus thể hiện một mức độ trưởng thành bất thường đối với các mối đe dọa mới được phát hiện,” báo cáo kết luận.

Theo Cointelegraph

Tin khác