- Surgiu um novo malware para Android chamado Crocodilus, que representa uma ameaça aos usuários de criptomoedas ao empregar técnicas para roubar frases-semente.
- O Crocodilus é uma ameaça cibernética totalmente desenvolvida, equipada com sobreposições de tela preta e coleta avançada de dados por meio do Accessibility Logging.
A Threat Fabric, uma empresa de segurança cibernética especializada em prevenção de fraudes, identificou uma nova variedade de malware móvel chamada Crocodilus, projetada para se infiltrar em dispositivos Android e roubar dados confidenciais do usuário. Diferentemente do malware básico, o Crocodilus emprega ataques de sobreposição para enganar os usuários e fazê-los divulgar suas frases-semente de criptografia, credenciais bancárias e OTPs.
Quando o malware obtém controle sobre um dispositivo, ele pode executar transações fraudulentas sem ser detectado. A análise da Threat Fabric revela que o Crocodilus não é apenas mais uma variante de malware, mas um cavalo de Troia bancário totalmente desenvolvido.
Exposição de frases-semente de criptografia
Um dos recursos mais alarmantes do Crocodilus é sua capacidade de roubar frases-semente de carteiras de criptomoedas por meio de engenharia social. Quando a vítima digita o PIN da carteira, o malware exibe uma mensagem de aviso falsa, informando “Faça backup da chave da carteira nas configurações em até 12 horas. Caso contrário, o aplicativo será redefinido e você poderá perder o acesso à sua carteira.”
Esse prompt pressiona a vítima a navegar até as configurações da frase-semente, expondo-a, sem saber, ao malware. Usando o Accessibility Logger, o Crocodilus coleta e transmite a frase-semente para os criminosos cibernéticos, concedendo a eles controle total sobre a carteira. Com essas informações essenciais em mãos, os atacantes podem drenar completamente os ativos da vítima, sem deixar nenhuma possibilidade de recuperação. Essa tática de manipulação eficaz torna o Crocodilus uma ameaça particularmente grave para os detentores de criptomoedas, pois tem como alvo o elemento de segurança mais vital de qualquer carteira, a frase-semente.
Como o Crocodilus opera
O Crocodilus é instalado usando um dropper proprietário, que o ajuda a contornar as restrições de segurança do Android 13+. Uma vez dentro do dispositivo, o Crocodilus solicita imediatamente as permissões do Accessibility Service, concedendo-lhe controle sobre as funções do sistema. Em seguida, o malware estabelece uma conexão com seu servidor de comando e controle (C2), que fornece uma lista de aplicativos bancários e de criptomoeda direcionados, juntamente com as sobreposições usadas para enganar os usuários. “Ele é executado continuamente, monitorando a inicialização de aplicativos e exibindo sobreposições para interceptar credenciais”, disse a Threat Fabric.
Uma de suas principais estratégias de ataque envolve ataques de sobreposição, em que são exibidas telas de login falsas que são visualmente idênticas às interfaces legítimas de bancos e carteiras de criptomoedas. Isso permite que os criminosos cibernéticos roubem credenciais bancárias, PINs de carteira de criptomoeda, chaves privadas e senhas de uso único (OTPs) usadas para autenticação multifator. As campanhas iniciais observadas pela Threat Fabric visavam usuários na Espanha e na Turquia, mas os especialistas preveem uma expansão global à medida que o malware evolui.
O Crocodilus também funciona como um keylogger, mas em vez de apenas capturar as teclas digitadas, ele opera como um Accessibility Logger, rastreando todas as atividades na tela e capturando elementos da interface do usuário de aplicativos bancários e de autenticação. Isso permite que os criminosos contornem as proteções de MFA sem precisar de acesso físico ao dispositivo da vítima. A Threat Fabric destacou ainda que o Crocodilus também silencia o som nos dispositivos infectados, garantindo que as transações fraudulentas permaneçam completamente não detectadas pela vítima.
Notavelmente, o Crocodilus compartilha semelhanças com o StilachiRAT, um Trojan de Acesso Remoto (RAT) recentemente identificado pela Equipe de Resposta da Microsoft. Conforme relatado no início deste mês pela CNF, o StilachiRAT também tem como alvo as extensões de carteiras de criptomoedas, acessando as configurações da chave de registro do Windows para detectar sua presença e potencialmente comprometer os ativos digitais dos usuários, destacando uma tendência crescente de malware direcionado à infraestrutura relacionada à criptografia.
