Usuários de Android, fiquem atentos: um novo malware foi descoberto e está mirando carteiras de criptomoedas em smartphones.
Revelado pela empresa de prevenção a fraudes ThreatFabric, o trojan bancário móvel chamado “Crocodilus” utiliza ferramentas como controle remoto, sobreposição de tela preta e coleta avançada de dados por meio do registro de acessibilidade para enganar os detentores de criptoativos e fazê-los revelar a frase-semente de suas carteiras.
O malware “está se disfarçando como aplicativos relacionados a criptomoedas e envolve técnicas específicas de engenharia social para levar as vítimas a revelarem os segredos armazenados dentro dos aplicativos de carteira de criptomoedas”, disse Aleksandar Eremin, chefe de inteligência de ameaças móveis da ThreatFabric, ao Decrypt. Ele acrescentou que isso mostra “o interesse específico dos operadores por trás do golpe em atingir usuários de carteiras de criptomoedas”.
Crucialmente, essa ameaça engana usuários do Android para que forneçam a frase-semente da própria carteira de criptomoedas. Faz isso emitindo um alerta que pede para o usuário fazer backup da chave para não perder o acesso.
A ThreatFabric afirmou que o Crocodilus está sendo distribuído por meio de um dropper proprietário que consegue burlar as proteções de segurança do Android 13 ou superior.
Uma vez instalado, sem acionar o Play Protect, o dropper solicita permissões do Serviço de Acessibilidade. Isso permite que o malware ignore restrições desse serviço, ativando uma sobreposição de tela para capturar senhas.
O malware exibe uma mensagem de alerta falsa ao usuário dizendo: “Faça backup da chave da sua carteira nas configurações em até 12 horas. Caso contrário, o app será redefinido e você poderá perder o acesso à carteira.”
O Crocodilus também funciona como um trojan de acesso remoto (RAT), o que significa que os operadores conseguem navegar pela interface do usuário, realizar gestos e até tirar capturas de tela. Segundo a ThreatFabric, isso permite ao operador do malware usar o Google Authenticator para acessar códigos de autenticação em dois fatores.
Leia Também
Tudo isso é feito discretamente por meio da sobreposição de uma tela preta, impedindo que o dono do celular veja o que está sendo feito remotamente.
Quem está sendo alvo do Crocodilus?
Até o momento da publicação, parece que apenas usuários na Espanha e na Turquia foram afetados pelo Crocodilus. O malware foi inicialmente detectado atacando pessoas nesses dois países, utilizando linguagem de depuração aparentemente em turco.
Segundo a ThreatFabric, ainda não está claro como exatamente o dropper inicial é baixado, o que indica que ele pode se espalhar para além dessas regiões.
A empresa afirma que os usuários são enganados para baixar os droppers por meio de sites maliciosos, redes sociais, promoções falsas, mensagens de texto e lojas de aplicativos de terceiros. Usuários de Android podem reduzir o risco utilizando apenas a Google Play Store para baixar aplicativos e evitando baixar APKs de outros sites.
Eremin disse ao Decrypt que, apesar de ser um “recém-chegado no cenário de ameaças móveis”, o “amplo conjunto de capacidades” do Crocodilus pode torná-lo um concorrente dos malwares como serviço já consolidados no mercado underground.
* Traduzido e editado com autorização do Decrypt.
- Você tem dúvidas de como montar uma carteira estratégica? O MB quer ajudar você com um portfólio pronto, com as principais criptomoedas relacionadas à inteligência artificial. Clique aqui para responder uma pesquisa e ajudar o MB nesta construção.
