Експерти викрили Android-троян, що атакує криптовалютні гаманці

Дослідники з компанії Threat Fabric виявили новий небезпечний зразок шкідливого програмного забезпечення для Android під назвою Crocodilus. Цей троян орієнтований на викрадення криптовалют, зокрема через імітацію інтерфейсів популярних застосунків і обман користувачів. Головна мета зловмисників — отримати доступ до seed-фраз — ключів до криптогаманців, що дозволяє повністю вивести всі активи.

Механізм атаки базується на накладенні фальшивого вікна поверх справжнього інтерфейсу застосунку. Crocodilus попереджає користувача, що необхідно зробити резервну копію ключа протягом 12 годин, інакше гаманець буде скинутий. Цей психологічний тиск змушує жертву перейти до розділу з seed-фразою, яку програма-фальшивка записує через систему доступності.

Зловмисники можуть повністю контролювати пристрій, отримавши дозвіл на доступ до служб доступності Android. Після цього програма зв’язується із сервером керування, отримує інструкції, список цільових застосунків і шаблони накладок для атак. Crocodilus також може робити скриншоти, перехоплювати введення даних і запускати фішингові накладки на банківські й криптовалютні застосунки.

Зафіксовано випадки розповсюдження цього ПЗ в Туреччині та Іспанії, проте фахівці вважають, що географія поширення буде розширюватися. У коді зловмисного ПЗ були виявлені позначки турецькою мовою, що дозволяє припустити — автори пов’язані з Туреччиною або є її носіями.

Фахівці Threat Fabric відзначають високий рівень складності цього трояна, який вже з першої версії демонструє функціональність, характерну для зрілих шкідливих систем: повне захоплення пристрою, віддалене керування, фальшиві накладки й крадіжка конфіденційної інформації. Це свідчить про новий рівень загрози з боку мобільного зловмисного ПЗ у криптосфері.