Crocodilus: nuovo malware ruba chiavi da cryptowallet su Android

Un nuovo malware per Android chiamato Crocodilus inganna gli utenti facendogli fornire la seed phrase del wallet di criptovalute. Per fare ciò utilizza un avviso che li invita a fare un backup delle chiavi per evitare di perdere l'accesso. Sebbene Crocodilus sia un malware bancario appena scoperto, ha già capacità completamente sviluppate per prendere il controllo del dispositivo, raccogliere dati e gestirlo a distanza. I ricercatori della compagnia di prevenzione frodi ThreatFabric affermano che il malware viene distribuito tramite un droppper proprietario. Questo è in grado di eludere le protezioni di sicurezza di Android 13 (e versioni successive). Il dropper installa il malware senza attivare Play Protect, eludendo anche le restrizioni del servizio Accessibility Service.

Crocodilus utilizza tecniche di social engineering per convincere le vittime a fornire l'accesso alla seed phrase del wallet criptato. Ciò viene fatto con un overlay sullo schermo che avvisa gli utenti di "fare il backup della chiave del portafoglio nelle impostazioni entro 12 ore" per evitare di perdere l'accesso al wallet. Durante le sue prime operazioni, il malware ha colpito utenti in Turchia e Spagna. Dai messaggi di debug, sembra che il malware abbia origine turca. Ad oggi non è chiaro come avvenga l'infezione iniziale. Tuttavia, solitamente le vittime vengono ingannate a scaricare i droppers tramite siti web dannosi, false promozioni sui social media o SMS, e negozi di app di terze parti. Quando viene lanciato, Crocodilus ottiene l'accesso al servizio di Accessibilità, normalmente riservato ad aiutare le persone con disabilità, per sbloccare l'accesso ai contenuti dello schermo, eseguire gesti di navigazione e monitorare l'avvio delle app.

Crocodilus: malware può eseguire fino a 23 comandi diversi sul device

Quando la vittima apre un'app bancaria o di criptovalute mirata, Crocodilus carica un finto overlay sopra l'app reale per intercettare le credenziali dell'account della vittima. La componente bot del malware supporta un insieme di 23 comandi che può eseguire sul dispositivo. Ad esempio, il malware può: abilitare l’inoltro delle chiamate, avviare app, inviare notifiche, SMS a numeri specifici, richiedere i privilegi di amministratore, bloccare lo schermo e tanto altro. Il malware offre anche la funzionalità di remote access trojan (RAT). Ciò permette agli hacker di interagire con lo schermo, navigare nell'interfaccia utente, eseguire gesti di swipe e altro.

Esiste anche un comando RAT dedicato per fare uno screenshot dell'app Google Authenticator e ottenere i codici one-time password utilizzati per la protezione degli account tramite autenticazione a due fattori. Durante l'esecuzione di queste azioni, gli operatori di Crocodilus possono attivare un overlay nero sullo schermo e disattivare il suono del dispositivo, nascondendo così l'attività alla vittima e facendola sembrare come se il dispositivo fosse bloccato. Come accennato, al momento il malware sembra mirare specificamente a Spagna e Turchia. Tuttavia, il malware potrebbe presto espandere le sue operazioni, aggiungendo altre app alla sua lista di obiettivi. Per evitare problemi di questo tipo, gli utenti dovrebbero evitare di scaricare applicazioni APK da fonti sconosciute. Inoltre, è anche necessario assicurarsi che Google Play Protect sia sempre attivo sul proprio dispositivo.