Novo Trojan Android Crocodilus explora serviços de acessibilidade para roubar credenciais bancárias e de criptomoedas

Pesquisadores de cibersegurança descobriram um novo malware bancário para Android chamado Crocodilus, projetado principalmente para atingir usuários na Espanha e na Turquia.

“O Crocodilus surge não como uma simples cópia, mas como uma ameaça completa desde o início, equipado com técnicas modernas como controle remoto, sobreposição de tela preta e coleta avançada de dados por meio dos serviços de acessibilidade”, afirmou a empresa ThreatFabric.

Assim como outros trojans bancários, o Crocodilus é projetado para permitir o controle total do dispositivo (DTO) e realizar transações fraudulentas. A análise do código-fonte e das mensagens de depuração indica que o autor do malware é falante da língua turca.

Os artefatos do Crocodilus analisados pela empresa holandesa de segurança móvel se disfarçam de Google Chrome (nome do pacote: quizzical.washbowl.calamity), atuando como um dropper capaz de contornar as restrições do Android 13 e superiores.

Uma vez instalado e executado, o aplicativo solicita permissão para os serviços de acessibilidade do Android. Em seguida, ele se conecta a um servidor remoto para receber instruções adicionais, a lista de aplicativos financeiros a serem visados e as sobreposições em HTML usadas para roubar credenciais.

O Crocodilus também tem como alvo carteiras de criptomoedas, exibindo uma mensagem de alerta em vez de uma tela de login falsa. A mensagem incentiva as vítimas a fazer backup de suas frases-semente em até 12 horas, sob pena de perderem o acesso às carteiras.

Essa tática de engenharia social visa conduzir as vítimas até suas frases-semente, que são então capturadas por meio do abuso dos serviços de acessibilidade. Com isso, os hackers conseguem acesso total às carteiras e esvaziam os ativos.

“O malware roda continuamente, monitorando a abertura de aplicativos e exibindo sobreposições para interceptar credenciais”, relatou a ThreatFabric. “Ele monitora todos os eventos de acessibilidade e registra os elementos exibidos na tela”.

Isso permite que o Crocodilus registre todas as atividades feitas na tela da vítima e até capture o conteúdo do aplicativo Google Authenticator.

Outra funcionalidade é a capacidade de ocultar suas ações maliciosas, exibindo uma tela preta e silenciando sons, garantindo que suas atividades passem despercebidas.

Entre os principais recursos do malware estão:

• Abrir aplicativos específicos

• Se autodeletar do dispositivo

• Enviar notificações push

• Enviar SMS para todos ou contatos selecionados

• Coletar listas de contatos

• Obter lista de apps instalados

• Ler mensagens SMS

• Solicitar privilégios de administrador do dispositivo

• Ativar sobreposição preta

• Atualizar configurações do servidor de comando e controle (C2)

• Ativar/desativar som

• Ativar/desativar keylogging

• Tornar-se o gerenciador de SMS padrão

“A aparição do trojan bancário Crocodilus representa uma escalada significativa na sofisticação e no nível de ameaça apresentado por malwares modernos”, afirmou a ThreatFabric.

“Com suas avançadas capacidades de controle do dispositivo, recursos de acesso remoto e ataques com sobreposição de tela desde suas versões iniciais, o Crocodilus demonstra um grau de maturidade incomum para ameaças recém-descobertas.”

Esse desenvolvimento ocorre enquanto a Forcepoint revelou uma campanha de phishing que utiliza temas relacionados a impostos para distribuir o trojan bancário Grandoreiro, que visa usuários do Windows no México, Argentina e Espanha, utilizando um script Visual Basic ofuscado.

Via - THN