UNSPLASH/CC/ROBERT ZUNIKOFF
MADRI 31 mar. (Portaltic/EP) -
A empresa de segurança ThreatFabric alertou sobre o cavalo de Troia Crocodilus, projetado para roubar credenciais de acesso a carteiras, mas também para obter a frase-semente e roubar criptomoedas sem que a vítima perceba, implantando várias técnicas modernas.
O Crocodilus é um novo cavalo de Troia bancário que reúne um arsenal de recursos modernos que permitem infectar um dispositivo e assumir o controle para esvaziar as contas bancárias e as carteiras de criptomoedas de suas vítimas. Como o ThreatFabric explica em seu blog oficial, ele visa principalmente as vítimas na Espanha e na Turquia.
Para fazer isso, ele usa um "dropper", um tipo de Trojan que é baixado no computador da vítima e, uma vez lá, instala o "malware" com o qual ele irá infectá-lo para realizar a atividade maliciosa e, neste caso, tem a capacidade de evitar as restrições impostas pelo Android (da versão 13 em diante).
Uma vez instalado, o Crocodilus pede para habilitar o serviço de acessibilidade, sob o pretexto de que ele funcionará corretamente, embora não esteja claro como a infecção ocorre, se por meio de um link malicioso ou de um aplicativo nocivo. Uma vez que as permissões são concedidas, vários recursos alternativos estão disponíveis para desbloquear a tela e navegar no dispositivo.
Ele também se conecta a um servidor de comando e controle, do qual recebe instruções. Dessa forma, ele obtém uma lista de aplicativos-alvo e as sobreposições - a interface que substituirá a original e legítima - com as quais roubará as credenciais dos usuários.
Entre seus recursos avançados está o 'keylogging'; com acesso aos recursos de acessibilidade, ele pode monitorar todos os eventos que ocorrem na tela e registrar as alterações feitas na tela, como a digitação de uma senha. Dessa forma, ele obtém credenciais de acesso a aplicativos de criptomoeda.
No entanto, ele vai além, pois o Crocodilus exibe uma tela pop-up fraudulenta que avisa sobre a necessidade de fazer backup da chave da carteira dentro de 12 horas para não perder o acesso à carteira.
Dessa forma, ele obtém não apenas as credenciais de login do serviço - que já foram registradas com os controles de sobreposição e acessibilidade - mas também a chave de recuperação da carteira, conhecida como seed phrase.
Isso se soma à sua capacidade de facilitar aos criminosos cibernéticos a execução de ações remotamente sem que a vítima perceba, pois ele usa uma sobreposição de tela preta para ocultá-las e silencia o som do dispositivo, para que nada possa denunciá-lo.
"O surgimento de novas ameaças, como o Crocodilus, mostra que os métodos básicos de detecção baseados em assinaturas não são mais suficientes", afirma a ThreatFabric. A ThreatFabric acredita que "as instituições financeiras devem adotar uma abordagem de segurança em camadas que inclua uma análise de risco abrangente com base no comportamento e nos dispositivos de seus clientes".
Esta notícia foi traduzida por um tradutor automático