Новый банковский троян Crocodilus за считанные минуты выводит средства жертв из банковских и крипто кошельков.
Как сообщает NoticiasDeÁlava, вредонос внедряется на устройство жертвы через dropper — приложение-разносчик, маскирующее основное ПО для кражи данных.
После установки Crocodilus просит включить сервис доступности под предлогом корректной работы. С полученными привилегиями троян разблокирует экран, перехватывает управление и подключается к серверу команд и контроля. Там он получает список целевых приложений и интерфейсы-подмены, с помощью которых вытягивает логины и пароли.
Кроме обычного фишинга, Crocodilus оснащён кейлоггером: он записывает каждое нажатие клавиш и изменения на экране. Это позволяет ему украсть не только учётные данные, но и фразу-ключ (seed-фразу) криптокошелька.
Троян показывает жертве фальшивое окно с требованием сделать резервную копию фразы в течение 12 часов, после чего отправляет её киберпреступникам.
Дополнительно злоумышленники скрывают свои действия за чёрным экраном и отключают звуковые уведомления, чтобы пользователь ничего не заметил.
По данным ThreatFabric, стандартные антивирусные сигнатуры не справляются с такими методами, поэтому компания рекомендует финансовым учреждениям внедрять многоуровневую защиту и анализ рисков на основании поведения устройств.
Испания и Турция лидируют по числу пострадавших. В Испании отмечены случаи, когда потери достигают тысяч евро. Эксперты полагают, что за разработкой стоит группа Sybra, связанная с другими семействами вредоносов MetaDroid и Octo, однако официального подтверждения пока нет.
Как защититься?
Устанавливайте приложения только из Google Play и других официальных магазинов.
Не переходите по сомнительным ссылкам в SMS и email.
Отклоняйте запросы на доступ к сервисам доступности без явной нужды.
Включите многофакторную аутентификацию для банковских и криптосервисов.
При подозрительном поведении телефона (замедления, странные уведомления) сразу отключайте интернет и проверяйте устройство.