Una vez que se abre una aplicación bancaria o de criptomonedas, se activa un falso overlay que deshabilita el sonido mientras los hackers toman el control del dispositivo.

La firma de ciberseguridad Threat Fabric dice que ha encontrado una nueva familia de malware para dispositivos móviles que puede abrir un overlay falso para ciertas aplicaciones, engañando a usuarios de Android para que proporcionen sus frases semilla de criptomonedas mientras toma control del dispositivo.

Los analistas de Threat Fabric dijeron en un informe del 28 de marzo que el malware Crocodilus usa un olverlay de pantalla que advierte a los usuarios que respalden su clave de billetera criptográfica antes de una fecha límite específica o arriesgarse a perder el acceso.

“Una vez que una víctima proporciona una contraseña desde la aplicación, el overlay mostrará un mensaje: Respalde su clave de billetera en la configuración dentro de 12 horas. De lo contrario, la aplicación se restablecerá y podría perder el acceso a su billetera”, dijo Threat Fabric.

“Este truco de ingeniería social guía a la víctima para que navegue hasta su frase semilla de la billetera, permitiendo a Crocodilus recolectar el texto usando su registrador de accesibilidad”.

Una vez que los actores malintencionados tienen la frase semilla, pueden tomar el control total de la billetera y robar los fondos.

Threat Fabric dice que, a pesar de ser un malware nuevo, Crocodilus tiene todas las características del malware bancario moderno, con ataques de overlay, recolección avanzada de datos a través de la captura de pantalla de información sensible como contraseñas y acceso remoto para tomar control del dispositivo infectado.

La infección inicial ocurre al descargar inadvertidamente el malware en otro software que evade las protecciones de seguridad de Android 13, según Threat Fabric.

Una vez instalado, Crocodilus solicita que se habilite el servicio de accesibilidad, lo que permite a los hackers obtener acceso al dispositivo.

“Una vez concedido, el malware se conecta al servidor de comando y control (C2) para recibir instrucciones, incluyendo la lista de aplicaciones objetivo y los overlays a usar”, dijo Threat Fabric.

Funciona continuamente, monitoreando los lanzamientos de aplicaciones y mostrando overlays para interceptar credenciales. Cuando se abre una aplicación bancaria o de criptomonedas objetivo, el overlay falso se abre encima y silencia el sonido mientras los hackers toman control del dispositivo.

“Con la información personal identificable (PII) y las credenciales robadas, los actores de la amenaza pueden tomar el control total del dispositivo de una víctima usando el acceso remoto incorporado, completando transacciones fraudulentas sin ser detectados”, dijo Threat Fabric.

El equipo Mobile Threat Intelligence de Threat Fabric ha encontrado que el malware ataca a usuarios en Turquía y España, pero dijo que el alcance de uso probablemente se ampliará con el tiempo.

También especulan que los desarrolladores podrían hablar turco, basándose en las notas en el código, y añadieron que un actor de amenaza conocido como Sybra u otro hacker probando nuevo software podría estar detrás del malware.

“La aparición del troyano bancario móvil Crocodilus marca una escalada significativa en la sofisticación y el nivel de amenaza que representa el malware moderno”.
“Con sus avanzadas capacidades de toma de control de dispositivos, funciones de control remoto y el despliegue de ataques de overlay negro desde sus primeras iteraciones, Crocodilus demuestra un nivel de madurez poco común en amenazas recién descubiertas”, añadió Threat Fabric.

FUENTE: https://es.cointelegraph.com/news/andriod-malware-crocodilus-can-take-over-phones-to-steal-crypto