Các nhà nghiên cứu tại ThreatFabric đã xác định được một loại virus mới có khả năng tấn công vào điện thoại thông minh Android. Được đặt tên là Crocodilus, phần mềm độc hại này được lập trình để đánh cắp tiền từ nạn nhân, có thể là từ tài khoản ngân hàng hoặc từ blockchain.
Trước hết, Crocodilus là phần mềm độc hại nhắm vào ngân hàng. Bắt chước các loại virus như Anatsa, Octo và Hook, loại virus này được thiết kế để đánh cắp thông tin ngân hàng của mục tiêu. Sau khi có được thông tin, tin tặc có thể đột nhập vào tài khoản ngân hàng của nạn nhân để thực hiện các giao dịch rút tiền gian lận.
Tương tự như vậy, phần mềm độc hại lừa người dùng lấy khóa riêng cho ví tiền điện tử của nó. Với những điều này, tin tặc có thể thoải mái kiểm soát ví và chuyển tất cả tài sản kỹ thuật số vào ví của mình.
Như ThreatFabric giải thích, loại vi-rút này dựa vào các chiến thuật kỹ thuật xã hội để thuyết phục mục tiêu chia sẻ khóa riêng tư có giá trị của họ. Là Một lần nữa, Crocodilus sử dụng cửa sổ giả để đánh lừa người nắm giữ tiền điện tử. Cửa sổ sẽ yêu cầu người dùng "lưu khóa" ví trong phần cài đặt trong vòng 12 giờ", nếu không bạn sẽ có nguy cơ mất quyền truy cập vào tiền của họ khi thiết lập lại. Trong trường hợp khẩn cấp, mục tiêu sẽ lưu khóa của họ, giúp tội phạm mạng có đủ thời gian để lấy chúng bằng vi-rút.
Để xâm nhập vào điện thoại thông minh của mục tiêu, Crocodilus lây lan qua các ứng dụng được chia sẻ trên web. Ứng dụng gian lận này, có sẵn ở định dạng APK, sẽ hoạt động như một trình thả. Tóm lại, ứng dụng chỉ được thiết kế để cài đặt vi-rút bằng bỏ qua cơ chế bảo mật của Android. Hiện tại, loại vi-rút này chủ yếu nhắm vào khách hàng của các ngân hàng Tây Ban Nha và Thổ Nhĩ Kỳ, cũng như các nhà đầu tư tiền điện tử cư trú tại hai quốc gia này.
Nguồn: Threat Fabric
Trước hết, Crocodilus là phần mềm độc hại nhắm vào ngân hàng. Bắt chước các loại virus như Anatsa, Octo và Hook, loại virus này được thiết kế để đánh cắp thông tin ngân hàng của mục tiêu. Sau khi có được thông tin, tin tặc có thể đột nhập vào tài khoản ngân hàng của nạn nhân để thực hiện các giao dịch rút tiền gian lận.
Cách thức hoạt động của Crocodilus để rút tiền của bạn
Để đạt được điều này, vi-rút sẽ chèn một cửa sổ mô phỏng giao diện của ngân hàng lên trên ứng dụng chính thức. Tin chắc rằng khi duyệt ứng dụng ngân hàng, người dùng sẽ cung cấp thông tin đăng nhập của mình mà không hề nghi ngờ gì rằng họ đang rơi vào bẫy của tin tặc. Crocodilus "chạy liên tục, theo dõi việc khởi chạy ứng dụng và hiển thị lớp phủ để chặn thông tin xác thực." Nó cũng có khả năng ghi lại mọi thứ nạn nhân nhập trên bàn phím.Tương tự như vậy, phần mềm độc hại lừa người dùng lấy khóa riêng cho ví tiền điện tử của nó. Với những điều này, tin tặc có thể thoải mái kiểm soát ví và chuyển tất cả tài sản kỹ thuật số vào ví của mình.
Như ThreatFabric giải thích, loại vi-rút này dựa vào các chiến thuật kỹ thuật xã hội để thuyết phục mục tiêu chia sẻ khóa riêng tư có giá trị của họ. Là Một lần nữa, Crocodilus sử dụng cửa sổ giả để đánh lừa người nắm giữ tiền điện tử. Cửa sổ sẽ yêu cầu người dùng "lưu khóa" ví trong phần cài đặt trong vòng 12 giờ", nếu không bạn sẽ có nguy cơ mất quyền truy cập vào tiền của họ khi thiết lập lại. Trong trường hợp khẩn cấp, mục tiêu sẽ lưu khóa của họ, giúp tội phạm mạng có đủ thời gian để lấy chúng bằng vi-rút.
Xác thực hai yếu tố đang gặp nguy hiểm
Đặc biệt toàn diện, vi-rút này có khoảng hai mươi lệnh độc hại khác. Theo các nhà nghiên cứu, Crocodilus cũng có thể gửi tin nhắn văn bản đến tất cả các số liên lạc của mục tiêu, chặn cuộc gọi, tắt tiếng, khóa màn hình hoặc khởi chạy một ứng dụng cụ thể trong số các ứng dụng được cài đặt trên điện thoại. Cuối cùng, nó có thể chụp ảnh màn hình ứng dụng Google Authenticator, cho phép nó lấy mã bảo mật để xác thực đa yếu tố.Để xâm nhập vào điện thoại thông minh của mục tiêu, Crocodilus lây lan qua các ứng dụng được chia sẻ trên web. Ứng dụng gian lận này, có sẵn ở định dạng APK, sẽ hoạt động như một trình thả. Tóm lại, ứng dụng chỉ được thiết kế để cài đặt vi-rút bằng bỏ qua cơ chế bảo mật của Android. Hiện tại, loại vi-rút này chủ yếu nhắm vào khách hàng của các ngân hàng Tây Ban Nha và Thổ Nhĩ Kỳ, cũng như các nhà đầu tư tiền điện tử cư trú tại hai quốc gia này.
Nguồn: Threat Fabric
