Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Trojan bancario Crocodilus

Trojan bancario Crocodilus

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:
Italiano

Gli esperti di sicurezza informatica hanno scoperto un nuovo malware bancario per Android denominato Crocodilus, che prende di mira principalmente gli utenti in Spagna e Turchia. A differenza di molte minacce emergenti che iniziano come versioni rudimentali di malware esistenti, Crocodilus entra nel panorama della criminalità informatica come un Trojan bancario completamente sviluppato e sofisticato.

Tecniche avanzate per il massimo danno

Crocodilus impiega tecniche moderne quali:

  • Capacità di controllo remoto
  • Sovrapposizioni di schermo nero per nasconderne la presenza
  • Raccolta dati avanzata tramite registrazione dell'accessibilità

Come altri trojan bancari, mira a prendere il controllo di un dispositivo (DTO) e consentire ai criminali informatici di condurre transazioni fraudolente. Un'analisi più approfondita del suo codice sorgente e dei messaggi di debug suggerisce che l'autore del malware è di lingua turca.

Travestito da Google Chrome per eludere il rilevamento

Crocodilus è progettato per aggirare le restrizioni di sicurezza di Android 13+ mascherandosi da Google Chrome (nome pacchetto: 'quizzical.washbowl.calamity'). Una volta installata, la falsa applicazione richiede i permessi del servizio di accessibilità, che le garantiscono il controllo completo sul dispositivo.

Dopo l'attivazione, si connette a un server remoto di comando e controllo (C2) per:

  • Ricevi ulteriori istruzioni
  • Ottieni l'elenco delle applicazioni finanziarie mirate
  • Distribuisci overlay HTML per rubare le credenziali utente

I portafogli di criptovaluta nel mirino

Crocodilus non si limita alle applicazioni bancarie, ma prende di mira anche i wallet di criptovalute. Invece di usare una falsa pagina di login, inganna le vittime con un avviso di backup fraudolento, avvertendole di salvare la loro seed phrase entro 12 ore o rischiare di perdere i loro asset.

Questa tattica di ingegneria sociale manipola le vittime inducendole a navigare verso le loro frasi seed, che vengono poi raccolte tramite abuso del servizio di accessibilità. Con queste informazioni, gli aggressori possono prendere il controllo del portafoglio e prosciugarne i fondi.

Monitoraggio continuo e furto di credenziali

Crocodilus è progettato per funzionare in modo persistente in background, tenendo d'occhio attentamente i lanci delle applicazioni e attivando sovrapposizioni per intercettare le credenziali. Può:

  • Monitorare tutti gli eventi di accessibilità
  • Cattura tutti gli elementi visualizzati sullo schermo
  • Fai screenshot di Google Authenticator per aggirare l'autenticazione a due fattori

In questo modo Crocodilus garantisce che i suoi operatori non notino alcuna attività di accesso.

Modalità invisibile: nascondere attività dannose

Per passare inosservato, Crocodilus impiega varie tattiche furtive, tra cui:

  • Visualizzazione di una sovrapposizione di schermo nero per nascondere attività non autorizzate
  • Disattivazione dei suoni per impedire alle vittime di sentire avvisi sospetti

Grazie a queste misure, diventa molto più difficile per le vittime rendersi conto che i loro dispositivi sono stati compromessi.

Un potente arsenale di caratteristiche dannose

Crocodilus è progettato con una serie di capacità minacciose che gli consentono di assumere il controllo completo di un dispositivo infetto. Può avviare applicazioni specifiche, rimuoversi dal dispositivo per evitare di essere rilevato e inviare notifiche push per manipolare il comportamento dell'utente. Il malware ha anche la capacità di inviare messaggi SMS a contatti selezionati o a tutti, recuperare elenchi di contatti e recuperare un elenco di applicazioni installate, offrendo agli aggressori una visione completa dell'impronta digitale della vittima.

Inoltre, Crocodilus può leggere messaggi SMS, richiedere privilegi di amministratore del dispositivo per ottenere un controllo più approfondito e attivare una modalità di sovrapposizione nera per nascondere le sue attività non sicure. Aggiorna regolarmente le impostazioni del server Command-and-Control (C2), assicurandosi di potersi adattare e rispondere alle nuove istruzioni dei suoi operatori. Per promuovere le sue operazioni stealth, può abilitare o disabilitare l'audio, attivare o disattivare il keylogging per catturare gli input degli utenti e persino rendersi il gestore SMS predefinito, il che gli consente di intercettare e manipolare le comunicazioni senza essere rilevato.

Crocodilus: una nuova minaccia per il mobile banking

L'emergere di Crocodilus segna un'escalation pericolosa nella sofisticatezza del malware del mobile banking. A differenza di molte minacce di recente scoperta, Crocodilus è maturo fin dall'inizio, sfruttando tecniche avanzate di Device-Takeover, funzionalità di controllo remoto e attacchi black overlay per compromettere gli utenti.

Grazie alla sua esecuzione furtiva e al suo robusto set di funzionalità, questo malware stabilisce un nuovo precedente per le minacce bancarie su Android, dimostrando che i criminali informatici migliorano costantemente le loro tattiche per restare al passo con le misure di sicurezza.

 

Tendenza

I più visti

Caricamento in corso...