Вредоносное ПО для Android «Crocodilus» может захватывать телефоны для кражи криптовалют

cryptonews.ruPublished on 2024-10-31Last updated on 2025-03-31

Компания по кибербезопасности Threat Fabric сообщает, что обнаружила новое семейство вредоносных программ для мобильных устройств, которые могут запускать поддельный оверлей для определенных приложений, чтобы обманом заставить пользователей Android предоставить свои крипто-фразы, когда оно захватывает устройство.

Аналитики Threat Fabric сообщили в отчете от 28 марта, что вредоносное ПО Crocodilus использует экранный оверлей, предупреждая пользователей о необходимости создать резервную копию ключа криптокошелька к определенному сроку, иначе они рискуют потерять доступ.

«Как только жертва предоставит пароль из приложения, на экране появится сообщение: Создайте резервную копию ключа кошелька в настройках в течение 12 часов. В противном случае приложение будет сброшено, и вы можете потерять доступ к своему кошельку», — сообщает Threat Fabric.

«Этот трюк социальной инженерии направляет жертву к ключу кошелька с исходной фразой, позволяя Crocodilus собирать текст с помощью своего регистратора доступности».


Источник: Threat Fabric.

Как только злоумышленники получат исходную фразу, они смогут захватить полный контроль над кошельком и «полностью его опустошить».

Threat Fabric утверждает, что, несмотря на то, что это новое вредоносное ПО, Crocodilus обладает всеми функциями современного банковского вредоносного ПО, включая атаки с наложением, расширенный сбор данных с помощью захвата экрана конфиденциальной информации, такой как пароли, и удаленный доступ для получения контроля над зараженным устройством.

Первоначальное заражение происходит путем непреднамеренной загрузки вредоносного ПО в другое программное обеспечение, которое обходит средства защиты Android 13, согласно Threat Fabric.

После установки Crocodilus запрашивает включение службы доступности, что позволяет хакерам получить доступ к устройству.

«После предоставления доступа вредоносная программа подключается к командно-контрольному серверу (C2) для получения инструкций, включая список целевых приложений и используемых оверлеев», — сообщает Threat Fabric.


После установки Crocodilus запрашивает включение службы специальных возможностей, предоставляя хакерам доступ к устройству. Источник: Threat Fabric

Она работает непрерывно, отслеживая запуски приложений и отображая оверлеи для перехвата учетных данных. Когда открывается целевое банковское или криптовалютное приложение, поддельный оверлей запускается поверх и отключает звук, пока хакеры берут под контроль устройство.

«С украденными PII и учетными данными злоумышленники могут получить полный контроль над устройством жертвы с помощью встроенного удаленного доступа, совершая мошеннические транзакции без обнаружения», — сообщает Threat Fabric.

Команда Mobile Threat Intelligence компании Threat Fabrix обнаружила, что вредоносная программа нацелена на пользователей в Турции и Испании, но заявила, что со временем сфера ее использования, вероятно, расширится.

Они также предполагают, что разработчики могли говорить по-турецки, основываясь на заметках в коде, и добавили, что за вредоносным ПО может стоять злоумышленник, известный как Sybra, или другой хакер, тестирующий новое программное обеспечение.

«Появление мобильного банковского трояна Crocodilus знаменует собой существенный рост сложности и уровня угроз, создаваемых современным вредоносным ПО».

«Благодаря своим передовым возможностям захвата устройств, функциям удаленного управления и развертыванию атак черного оверлея с самых ранних версий, Crocodilus демонстрирует уровень зрелости, нетипичный для недавно обнаруженных угроз», — добавили в Threat Fabric.

Related Reads

Selling at a Loss of $55 Million: MicroStrategy's Faith Reaches Its Interest Payment Date

On July 6th, Michael Saylor's MicroStrategy sold 3,588 BTC for approximately $216 million to fund dividends for its digital credit securities, incurring a realized loss of around $55.45 million. This move, from a company that long championed a "never sell" Bitcoin strategy, marks a significant shift. The sale followed a board-approved plan authorizing up to $1.25 billion in BTC sales for corporate purposes like dividends and buybacks. MicroStrategy's core growth model relied on issuing premium-priced shares to buy more Bitcoin. However, with its share price trading near the critical 1.22x mNAV (market value to net asset value) threshold, issuing new equity became dilutive. Simultaneously, its financing channels have constricted, while its annual dividend and interest obligations (roughly $1.76 billion) remain a rigid expense. Consequently, selling Bitcoin became the rational choice under its own framework. MicroStrategy now holds ~843,775 BTC and $2.55 billion in cash reserves. If annual obligations were fully covered by BTC sales, it could create consistent selling pressure of roughly 29,000 BTC per year. This transforms the market's largest consistent buyer into a scheduled seller, potentially pressuring Bitcoin prices and challenging the valuation models of similar digital asset treasury companies. For MicroStrategy, the path forward hinges on Bitcoin's price recovery, which would help restore the premium on its securities and restart its acquisition flywheel. Its fate is now cyclically tied to the asset it holds: a strong Bitcoin price validates its model, while a weak price strains the very model that exerts selling pressure.

marsbit15m ago

Selling at a Loss of $55 Million: MicroStrategy's Faith Reaches Its Interest Payment Date

marsbit15m ago

Trading

Spot
活动图片