Az új Crocodilus malware kifosztja az Androidos kriptopénztárca-tulajdonosokat

Az új Crocodilus malware kifosztja az Androidos kriptopénztárca-tulajdonosokat
Egy nemrég felfedezett, Crocodilus néven ismert Android-kártevő ráveszi a felhasználókat, hogy adják meg kriptopénztárcájuk helyreállítási kifejezését, azzal fenyegetve őket, hogy elveszíthetik a hozzáférést, ha nem készítenek biztonsági mentést. Bár a Crocodilus egy új banki malware, már teljesen kifejlett képességekkel rendelkezik az eszköz irányítására, adatok gyűjtésére és távoli vezérlésre. A ThreatFabric nevű csalásmegelőző cég kutatói szerint a kártevőt egy egyedi kiszolgálói program terjeszti, amely megkerüli az Android 13 (és újabb verziók) biztonsági védelmét.

Fókuszban a kriptotárcák

A Crocodilus különlegessége, hogy social engineering módszerekkel veszi rá az áldozatokat kriptotárcájuk helyreállítási kifejezésének megadására. Ezt egy képernyő-átfedéssel éri el, amely figyelmezteti a felhasználókat, hogy 12 órán belül készítsenek biztonsági mentést a tárcakulcsukról a beállításokban, különben elveszíthetik a hozzáférést a tárcájukhoz.

Ez a trükk az áldozatot a helyreállítási kifejezés (vagy tárcakulcs) megadására ösztönzi, amit a Crocodilus az Accessibility Logger segítségével olvas ki. Ezzel az információval a támadók teljes irányítást szereznek a tárca felett, és teljesen kiüríthetik azt.

Török eredet, nemzetközi célpontok

Első műveletei során a Crocodilus Törökországban és Spanyolországban célzott meg felhasználókat, beleértve e két ország bankszámláit is. A hibaüzenetek alapján úgy tűnik, hogy a malware török eredetű.

Nem világos, hogyan történik az első fertőzés, de az áldozatokat jellemzően rosszindulatú webhelyeken, közösségi médiában vagy SMS-ben megjelenő hamis promóciók, illetve harmadik féltől származó alkalmazásboltok használatával veszik rá a letöltésre.

Kiterjedt irányítási képességek

Elindítás után a Crocodilus hozzáférést szerez az Accessibility Service-hez, hogy engedélyezze a képernyőtartalom elérését, navigációs gesztusok végrehajtását és az alkalmazások indításának figyelemmel követését.

Amikor az áldozat megnyit egy célzott banki vagy kriptovaluta-alkalmazást, a Crocodilus hamis átfedést jelenít meg az eredeti alkalmazás tetején, hogy így fogja el az áldozat fiókadatait.


23 távoli parancs

A malware 23 különböző parancsot támogat, például hívásátirányítást, alkalmazások indítását, SMS-küldést és a képernyőzár aktiválását. Emellett távelérési trójaiként is működik, amely lehetővé teszi, hogy a kiberbűnözők irányítsák a képernyőt, navigáljanak a felhasználói felületen, és más műveleteket hajtsanak végre.

Van egy dedikált parancs is a Google Authenticator alkalmazás képernyőjének rögzítésére, amely lehetővé teszi a kétfaktoros hitelesítéshez használt egyszeri jelszavak ellopását.

Az Android-felhasználóknak azt javasolják, hogy kerüljék az APK-k letöltését a Google Play-en kívüli forrásokból, és győződjenek meg arról, hogy a Play Protect mindig aktív az eszközeiken.

2025, adrienne, www.bleepingcomputer.com alapján


androidkártevőkriptopénzThreatFabric

Legfrissebb posztok


Címlapon

Egy eltűnt mobiltelefon miatt fordult vissza az Air France karibi járata
Az MI is szoronghat – a traumatikus beszélgetések feldühítik a chatbotokat
A Microsoft már nem enged kibúvót az online bejelentkezés alól Windows 11-ben
A Valósághajlítók: Amikor az MI “hazudik”
Az xAI felvásárolja az X-et: 80 milliárd dolláros tőzsdei érték, közös jövő