Pesquisadores de cibersegurança descobriram um novo malware bancário para Android chamado Crocodilus, principalmente projetado para direcionar usuários na Espanha e na Turquia.
“Crocodilus entra em cena não como um simples clone, mas como uma ameaça totalmente desenvolvida desde o início, equipada com técnicas modernas como controle remoto, sobreposições de tela preta e coleta avançada de dados por meio do registro de acessibilidade”, disse a ThreatFabric.
Assim como outros trojans bancários desse tipo, o malware é projetado para facilitar a invasão de dispositivos (DTO) e, em última instância, realizar transações fraudulentas. Uma análise do código-fonte e das mensagens de depuração revela que o autor do malware é de língua turca.
Os artefatos do Crocodilus analisados pela empresa holandesa de segurança móvel se disfarçam de Google Chrome (nome do pacote: “quizzical.washbowl.calamity”), atuando como um instalador capaz de contornar as restrições do Android 13+.
Uma vez instalado e iniciado, o aplicativo solicita permissão para os serviços de acessibilidade do Android, após o que o contato é estabelecido com um servidor remoto para receber instruções adicionais, a lista de aplicativos financeiros a serem visados e as sobreposições de HTML a serem usadas para roubar credenciais.
O Crocodilus também é capaz de visar carteiras de criptomoedas com uma sobreposição que, em vez de servir uma página falsa de login para capturar informações de login, exibe uma mensagem de alerta instando as vítimas a fazer backup de suas frases-semente em 12, caso contrário correrão o risco de perder o acesso às suas carteiras.
Esse truque de engenharia social não passa de uma artimanha dos atores ameaças para guiar as vítimas para navegar até suas frases-semente, que são então coletadas por meio do abuso dos serviços de acessibilidade, permitindo-lhes assim obter controle total das carteiras e esvaziar os ativos.
“Ele roda continuamente, monitorando o lançamento de aplicativos e exibindo sobreposições para interceptar credenciais”, disse a ThreatFabric. “O malware monitora todos os eventos de acessibilidade e captura todos os elementos exibidos na tela.”
Isso permite que o malware registre todas as atividades realizadas pelas vítimas na tela, além de acionar uma captura de tela dos conteúdos do aplicativo Google Authenticator.
Outra característica do Crocodilus é sua capacidade de ocultar as ações maliciosas no dispositivo exibindo uma sobreposição de tela preta, bem como silenciar os sons, garantindo assim que permaneçam despercebidos pelas vítimas.
Algumas das importantes features suportadas pelo malware são – lançar aplicativo especificado, auto-remover do dispositivo, postar uma notificação push, enviar mensagens SMS para todos/selecionar contatos, recuperar lista de contatos, obter lista de aplicativos instalados, obter mensagens SMS, solicitar privilégios de administrador de dispositivo, habilitar sobreposição preta, atualizar configurações do servidor C2, habilitar/desabilitar som, habilitar/desabilitar o keylogging, tornar-se um gerenciador de SMS padrão.
“A emergência do trojan bancário móvel Crocodilus marca uma escalada significativa na sofisticação e nível de ameaça representados por malwares modernos”, disse a ThreatFabric.
“Com suas avançadas capacidades de invasão de dispositivos, recursos de controle remoto e a utilização de ataques de sobreposição preta desde suas primeiras iterações, o Crocodilus demonstra um nível de maturidade incomum em ameaças recém-descobertas.”
