Специалисты Threat Fabric обнаружили новое семейство вредоносного ПО для мобильных устройств на Android. Троян нацелен на определенные банковские приложения и популярные криптокошельки.
Вредонос под названием Crocodilus обладает возможностями проводить атаки с оверлеем, осуществлять кейлоггерство, обеспечивать удаленный доступ к устройству и «скрытые» операции.
Изначально вирус устанавливается через дроппер, обходящий ограничения ОС Android 13 и новее. После развертывания ПО запрашивает включение Accessibility Service, и, получив разрешение, подключается к серверу управления.
Crocodilus работает непрерывно, отслеживая запуски целевых приложений и отображает оверлеи для перехвата учетных данных. Как только пользователь вводит пароль или PIN-код криптокошелька, он получает предупреждение о необходимости создать резервную копию приватного ключа. Используя эту информацию, злоумышленники могут получить полный контроль над приложением и вывести все средства.
Данные: Threat Fabric.
Crocodilus регистрирует все выполняемые жертвой действия по изменениям текста на экране, работая как кейлоггер. Но троян в дополнение захватывает экран Google Authenticator, передавая злоумышленникам OTP-коды.
Crocodilus может отображать черный экран и отключать звук при работе приложений, чтобы сделать действия мошенников на устройстве незаметными для пользователя.
Специалисты подчеркнули, что троян даже в своих ранних версиях демонстрирует «уровень зрелости, нетипичный для недавно обнаруженных угроз».
Напомним, о наиболее важных новостях из мира кибербезопасности за неделю ForkLog рассказал в традиционном дайджесте.