Experţii în securitate cibernetică au descoperit un nou malware bancar pentru Android, numit Crocodilus, care reprezintă o ameninţare serioasă pentru utilizatorii din Spania şi Turcia.
Acest troian avansat foloseşte tehnici sofisticate pentru a prelua controlul asupra dispozitivelor infectate şi a fura date sensibile, inclusiv informaţii financiare şi criptomonede. Deşi recent apărut, Crocodilus se remarcă prin metode inovatoare şi un comportament mult mai complex decât alte ameninţări similare.
Malware-ul se camuflează sub forma unei aplicaţii aparent inofensive, purtând numele Google Chrome, pentru a ocoli restricţiile Android 13+ şi a ajunge pe dispozitivul victimei. Odată instalat şi deschis, solicită acces la serviciile de accesibilitate ale Android-ului. Prin aceste permisiuni, poate interacţiona direct cu aplicaţiile financiare, inclusiv cele pentru criptomonede.
După obţinerea accesului necesar, Crocodilus se conectează la un server de comandă şi control, de unde primeşte instrucţiuni despre ţintele financiare şi tehnicile de phishing utilizate. Acesta poate afişa suprapuneri HTML frauduloase pentru a fura datele de autentificare ale utilizatorilor, generând pagini de login false sau mesaje menite să-i inducă în eroare, potrivit The Hacker News.
Una dintre cele mai periculoase caracteristici ale acestui malware este strategia sa de a ataca portofelele de criptomonede. În loc să afişeze un ecran de autentificare fals, Crocodilus recurge la inginerie socială, avertizând utilizatorii că trebuie să-şi salveze variantele de rezervă ale portofelului digital pentru a evita pierderea accesului. În realitate, această metodă îi determină să expună datele critice, pe care malware-ul le fură ulterior.
Pe lângă aceste tehnici, Crocodilus monitorizează constant activitatea de pe dispozitivul infectat, capturând interacţiunile utilizatorului cu aplicaţiile financiare şi realizând capturi de ecran ale platformelor sensibile, cum ar fi Google Authenticator. Astfel, atacatorii pot obţine acces complet la conturile bancare şi la portofelele de criptomonede fără ca victimele să bănuiască ceva.
Pentru a rămâne nedetectat, malware-ul include funcţii care suprapun un ecran negru şi dezactivează sunetul dispozitivului, ascunzând astfel activităţile suspecte.