Експерти виявили націлений на криптогаманці Android-троян

Фахівці Threat Fabric виявили нове сімейство шкідливого ПЗ для мобільних пристроїв на Android. Троян націлений на певні банківські застосунки та популярні криптогаманці.

Шкідливий вірус під назвою Crocodilus має можливості проводити атаки з оверлеєм, здійснювати кейлоггерство, забезпечувати віддалений доступ до пристрою і «приховані» операції.

Спочатку вірус встановлюється через дропер, що обходить обмеження ОС Android 13 і новіше. Після розгортання ПЗ запитує ввімкнення Accessibility Service, і, отримавши дозвіл, підключається до сервера управління.

Crocodilus працює безперервно, відстежуючи запуски цільових додатків і відображає оверлеї для перехоплення облікових даних. Щойно користувач вводить пароль або PIN-код криптогаманця, він отримує попередження про необхідність створити резервну копію приватного ключа. Використовуючи цю інформацію, зловмисники можуть отримати повний контроль над додатком і вивести всі кошти.

Crocodilus реєструє всі виконувані жертвою дії зі змін тексту на екрані, працюючи як кейлоггер. Але троян на додаток захоплює екран Google Authenticator, передаючи зловмисникам OTP-коди.

«Використовуючи вкрадені персональні та облікові дані, зловмисники можуть отримати повний контроль над пристроєм жертви, використовуючи вбудований віддалений доступ, здійснюючи шахрайські транзакції без виявлення», — зазначили експерти Threat Fabric.

Crocodilus може відображати чорний екран і відключати звук під час роботи додатків, щоб зробити дії шахраїв на пристрої непомітними для користувача.

Фахівці підкреслили, що троян навіть у своїх ранніх версіях демонструє «рівень зрілості, нетиповий для недавно виявлених загроз».

«Crocodilus, уже помічений в атаках на банки в Іспанії та Туреччині, а також популярні криптовалютні гаманці, явно створений для полювання за дорогими активами», — додали вони.

Нагадаємо, нещодавно експерти попередили про заражене ПЗ TradingView Premium.