Malware Crocodilus tem roubado carteiras cripto em dispositivos Android
O malware Crocodilus foi descoberto pela primeira vez atacando usuários na Turquia e na Espanha, utilizando uma linguagem de depuração que aparenta ser turca.
Usuários de Android, fiquem atentos: um novo malware está mirando carteiras de criptomoedas em smartphones.
Descoberto pela empresa de prevenção a fraudes ThreatFabric, o trojan bancário móvel Crocodilus utiliza ferramentas como controle remoto, sobreposição de tela preta e coleta avançada de dados por meio do registro de acessibilidade para enganar os detentores de criptomoedas e fazê-los revelar suas frases-semente.
“O malware está se disfarçando como aplicativos relacionados a criptomoedas e empregando técnicas específicas de engenharia social para convencer as vítimas a revelar informações sigilosas armazenadas em seus aplicativos de carteira de criptomoedas”, disse Aleksandar Eremin, chefe de inteligência contra ameaças móveis da ThreatFabric, ao Decrypt. Ele acrescentou que os operadores do malware demonstram um interesse específico em atacar usuários de carteiras de criptomoedas.
A ameaça é particularmente perigosa porque engana os usuários de Android para que forneçam voluntariamente a frase-semente de suas carteiras. O malware faz isso exibindo um alerta falso pedindo para que os usuários façam um backup da chave de acesso, sob o risco de perderem o acesso à carteira.
A ThreatFabric informou que o Crocodilus está sendo distribuído por meio de um dropper proprietário que consegue contornar as proteções de segurança do Android 13 ou versões posteriores.
Uma vez instalado pelo dropper, sem acionar o Play Protect, o malware solicita permissões do Serviço de Acessibilidade. Isso permite que ele contorne as restrições desse serviço, ativando sobreposições de tela para capturar senhas.
O malware exibe uma mensagem falsa para os usuários, dizendo:
“Faça o backup da chave de sua carteira nas configurações dentro de 12 horas. Caso contrário, o aplicativo será redefinido e você poderá perder o acesso à sua carteira.”
Além disso, o Crocodilus funciona como um trojan de acesso remoto (Remote Access Trojan – RAT), permitindo que seus operadores naveguem pela interface do usuário, façam gestos como deslizar a tela e até tirem capturas de tela. Segundo a ThreatFabric, isso possibilita que o malware utilize o Google Authenticator para acessar códigos de autenticação de dois fatores.
O malware executa todas essas ações discretamente, utilizando uma sobreposição de tela preta, impedindo que o proprietário do telefone perceba qualquer atividade suspeita sendo realizada remotamente.
Quem está sendo alvo do Crocodilus?
Até o momento, parece que apenas usuários na Espanha e na Turquia foram afetados pelo Crocodilus. O malware foi descoberto inicialmente atacando pessoas nesses países e utiliza uma linguagem de depuração que sugere ser de origem turca.
No entanto, segundo a ThreatFabric, o método exato pelo qual o dropper inicial é baixado ainda não está claro, o que significa que o malware pode se espalhar para outras regiões.
A ThreatFabric informou que os usuários são enganados para baixar os droppers por meio de sites maliciosos, redes sociais, promoções falsas, mensagens de texto e lojas de aplicativos de terceiros. Para reduzir o risco, usuários de Android devem baixar aplicativos exclusivamente pela Google Play Store e evitar instalar arquivos APK de outras fontes.
Eremin disse ao Decrypt que, apesar de ser um “novato no cenário de ameaças móveis”, o Crocodilus possui um “conjunto robusto de funcionalidades” que pode torná-lo um concorrente do modelo malware-as-a-service nos mercados clandestinos da internet.
