Crocodilus: Un Avanzato Malware Android Prende il Controllo Remoto delle Tue App Bancarie

È emerso un nuovo malware per Android noto come Crocodilus, che sta creando scompiglio nel mondo della cybersecurity.

Crocodilus manipola le vittime con falsi prompt di backup del portafoglio per rubare le frasi chiave.

A differenza di altre minacce per la banca mobile come Anatsa e Octo, che si sono evolute gradualmente, Crocodilus è una minaccia altamente sofisticata fin dall’inizio. Questo malware è stato scoperto dai ricercatori di ThreatFabric durante i loro controlli di routine, e l’hanno descritto come un considerevole passo avanti nel malware per dispositivi mobili.

I ricercatori affermano che Crocodilus funziona come un Trojan di “acquisizione del dispositivo”, il che significa che gli aggressori possono prendere il controllo dei dispositivi Android infetti a distanza.

Il malware utilizza diverse tecniche per privare le vittime delle loro informazioni, tra cui attacchi di sovrapposizione, keylogging e persino l’utilizzo dei Servizi di Accessibilità di Android per registrare le attività dell’utente. Questo tipo di malware viene principalmente utilizzato per rubare le credenziali degli account bancari e cripto.

Dopo essere stato installato sul telefono della vittima, il malware chiede il permesso di accedere ai servizi di accessibilità del telefono. Successivamente, il malware stabilisce una connessione con un server remoto per ricevere ulteriori istruzioni e un elenco di app da attaccare.

Di conseguenza, sviluppa false pagine di accesso, note come sovrapposizioni, che vengono posizionate sopra le vere applicazioni bancarie e di criptovaluta, con l’obiettivo di rubare le credenziali di accesso degli utenti. ThreatFabric spiega che questi attacchi sono stati osservati principalmente in Spagna e Turchia, ma si aspettano che il malware si diffonda a livello globale.

Ciò che rende Crocodilus diverso da altri malware è che può raccogliere informazioni che non si limitano alle password. Questa funzione è chiamata “Accessibility Logger”, e cattura tutto ciò che viene visualizzato sullo schermo del telefono, compresi gli OTP provenienti da applicazioni come Google Authenticator.

Ciò consente agli aggressori di ottenere informazioni sensibili, tra cui il nome e il valore degli OTP necessari per garantire le transazioni.

Il malware ha anche una “modalità nascosta” in cui il malware mostra una sovrapposizione di schermo nero sul dispositivo in modo che le azioni degli aggressori non possano essere viste. Inoltre, disattiva i suoni sul dispositivo in modo che le transazioni fraudolente passino inosservate. I ricercatori affermano che ciò rende molto difficile per le vittime rendersi conto che i loro dispositivi sono compromessi.

Crocodilus non è solo per le app finanziarie, funziona anche con i portafogli di criptovalute. Quando ottiene le credenziali di accesso, il malware utilizza tattiche di ingegneria sociale per chiedere alle vittime di rivelare la frase segreta del loro portafoglio.

Ad esempio, compare una falsa notifica che dice all’utente di fare il backup della chiave del portafoglio nelle prossime 12 ore, altrimenti verrà escluso. Quando la vittima si conforma alla richiesta, Crocodilus ruba la frase segreta e consegna all’attaccante le chiavi del portafoglio, che può quindi svuotare.

A prima vista, sembra che il codice del malware sia collegato a un noto gruppo di cybercriminali di lingua turca, ma il legame non è confermato.

Poiché le minacce per dispositivi mobili sono in costante aumento, è evidente che malware come Crocodilus sono un chiaro indicatore di quanto possa essere avanzato un malware. Con le sue capacità di prendere il controllo del dispositivo, è anche uno strumento sofisticato di raccolta dati e può lavorare in background, rendendolo una minaccia che dovrebbe essere presa seriamente.

Le istituzioni finanziarie e le piattaforme di criptovaluta devono migliorare le loro misure di sicurezza per essere in grado di contrastare tipi di attacchi così sofisticati.