Crocodilus: Um Malware Android Avançado Assume o Controle Remoto dos Seus Aplicativos Bancários

Um novo malware para Android conhecido como Crocodilus surgiu e está causando um alvoroço no mundo da cibersegurança.

Crocodilus manipula vítimas com falsos alertas de backup de carteira para roubar frases-chave.

Ao contrário de outras ameaças bancárias móveis, como Anatsa e Octo, que evoluíram gradualmente, Crocodilus é uma ameaça altamente sofisticada desde o início. Este malware foi descoberto pelos pesquisadores da ThreatFabric durante suas verificações rotineiras, e eles o descreveram como um avanço significativo no malware móvel.

Os pesquisadores dizem que o Crocodilus funciona como um Trojan de “controle de dispositivo”, o que significa que os invasores podem assumir o controle dos dispositivos Android infectados à distância.

O malware possui diferentes técnicas para privar as vítimas de suas informações, incluindo ataques de sobreposição, registro de teclas e até mesmo utilizando os Serviços de Acessibilidade do Android para gravar as atividades do usuário. Esse tipo de malware é usado principalmente para roubar credenciais de contas bancárias e de criptomoedas.

Após ser instalado no telefone da vítima, o malware pede permissão para acessar os serviços de acessibilidade do telefone. Em seguida, o malware estabelece uma conexão com um servidor remoto para receber mais instruções e uma lista de aplicativos para atacar.

Como consequência, desenvolve páginas de login falsas conhecidas como sobreposições, que são colocadas em cima das aplicações bancárias e de criptomoedas, com o objetivo de roubar as credenciais de login dos usuários. A ThreatFabric explica que esses ataques foram observados principalmente na Espanha e na Turquia, mas eles esperam que o malware se espalhe globalmente.

O que torna o Crocodilus diferente de outros malwares é que ele pode coletar informações que não se limitam a senhas. Esta característica é chamada de “Accessibility Logger”, e captura tudo o que é exibido na tela do telefone, incluindo OTPs de aplicações como o Google Authenticator.

Isso possibilita que os invasores obtenham informações sensíveis, incluindo o nome e o valor dos OTPs necessários para garantir as transações.

O malware também possui um “modo oculto” no qual o malware exibe uma sobreposição de tela preta no dispositivo, de modo que as ações dos invasores não possam ser vistas. Ele também silencia os sons do dispositivo para que as transações fraudulentas passem despercebidas. Os pesquisadores dizem que isso torna muito difícil para as vítimas perceberem que seus dispositivos estão sendo comprometidos.

Crocodilus não é apenas para aplicativos financeiros, ele também funciona com carteiras de criptomoedas. Quando obtém as credenciais de login, o malware usará táticas de engenharia social para pedir às vítimas que revelem a frase de recuperação de sua carteira.

Por exemplo, surge uma notificação falsa informando ao usuário para fazer backup da chave da carteira nas próximas 12 horas, caso contrário, eles serão bloqueados. Quando a vítima cumpre com o aviso, o Crocodilus rouba a frase de recuperação e entrega ao invasor as chaves da carteira, que ele pode então drenar.

À primeira vista, parece que o código do malware está conectado a um conhecido grupo cibernético de língua turca, mas a ligação não é confirmada.

Como as ameaças móveis estão sempre em ascensão, é evidente que malwares como o Crocodilus são uma clara indicação de quão avançados eles podem ser. Com suas capacidades de assumir o controle do dispositivo, ele também é uma ferramenta sofisticada de coleta de dados e pode trabalhar em segundo plano, tornando-se uma ameaça que deve ser levada a sério.

As instituições financeiras e as plataformas de criptomoedas precisam aprimorar suas medidas de segurança para poderem contra-atacar esses tipos sofisticados de ataques.