Найден Android-троян, нацеленный на криптокошельки

Эксперты из Threat Fabric обнаружили новое семейство вредоносного программного обеспечения, нацеленное на мобильные устройства с операционной системой Android. Этот троян, получивший название Crocodilus, нацелен на конкретные банковские приложения и наиболее распространенные криптокошельки.

Crocodilus обладает рядом опасных функций, включая возможность проведения оверлейных атак, утилизации кейлоггеров, обеспечения удаленного доступа к устройству и выполнения скрытых операций.

Первоначально вредоносное ПО устанавливается через дроппер, который успешно преодолевает защитные механизмы Android версии 13 и новее. После установки это программное обеспечение запрашивает активацию службы доступности, и, получив необходимые разрешения, подключается к серверу управления.

Crocodilus работает безостановочно, отслеживая запуск целевых приложений и демонстрируя оверлеи для перехвата учетных данных. Когда пользователь вводит пароль или PIN-код к своему криптокошельку, он получает ложное предупреждение о необходимости создать резервную копию своего приватного ключа. Злоумышленники, имея доступ к этой информации, могут полностью контролировать приложение и изымать средства пользователя.

Кроме этого, Crocodilus регистрирует все действия жертвы, отслеживая изменения текста на экране и функционируя как кейлоггер. Вредонос также захватывает экран Google Authenticator, передавая злоумышленникам коды OTP.

Эксперты Threat Fabric подчеркнули, что используя украденные личные и учетные данные, злоумышленники могут полностью контролировать устройство своей жертвы, применяя встроенные функции удаленного доступа и совершая мошеннические транзакции незаметно для пользователя.

Кроме того, Crocodilus способен отображать черный экран и отключать звук во время работы приложений, чтобы скрыть действия мошенников от жертвы.

Специалисты отметили, что даже в ранних версиях данный троян демонстрирует "уровень зрелости", который непривычен для только что выявленных угроз.

Crocodilus уже засветился в атаках на банки в Испании и Турции, а также на популярные криптовалютные кошельки, что свидетельствует о том, что он был специально разработан для охоты на значительные активы.