Trojan độc hại mới Crocodilus lợi dụng khả năng truy cập để đánh cắp thông tin ngân hàng và tiền điện tử trên Android

Trojan độc hại mới Crocodilus lợi dụng khả năng truy cập để đánh cắp thông tin ngân hàng và tiền điện tử trên Android

Một loại Trojan mới mang tên Crocodilus vừa được phát hiện, lợi dụng các dịch vụ trợ năng trên Android để đánh cắp dữ liệu cá nhân và tài chính của người dùng. Theo báo cáo từ trang tin bảo mật The Hacker News, phần mềm trojan độc hại này có thể kiểm soát hoàn toàn thiết bị bị lây nhiễm.

Crocodilus xuất hiện không phải như một bản sao đơn giản, mà là một mối đe dọa hoàn chỉnh ngay từ đầu, được trang bị các kỹ thuật hiện đại như điều khiển từ xa, lớp phủ màn hình đen và thu thập dữ liệu nâng cao thông qua ghi nhật ký khả năng truy cập. Giống như các trojan ngân hàng khác cùng loại, phần mềm độc hại này được thiết kế để tạo điều kiện cho việc chiếm đoạt thiết bị (DTO) và cuối cùng là thực hiện các giao dịch gian lận.

Phân tích mã nguồn và thông báo gỡ lỗi cho thấy tác giả phần mềm độc hại này nói tiếng Thổ Nhĩ Kỳ. Trojan này ngụy trang thành Google Chrome (tên gói: "quizzical.washbowl.calamity"), hoạt động như một trình thả có khả năng vượt qua các hạn chế của Android 13+.

Sau khi cài đặt và khởi chạy, ứng dụng sẽ yêu cầu cấp quyền cho các dịch vụ khả năng truy cập của Android, sau đó liên hệ với máy chủ từ xa để nhận thêm hướng dẫn, danh sách các ứng dụng tài chính sẽ bị nhắm mục tiêu và lớp phủ HTML sẽ được sử dụng để đánh cắp thông tin đăng nhập.

Crocodilus cũng có khả năng nhắm mục tiêu vào ví tiền điện tử bằng lớp phủ, thay vì tạo trang đăng nhập giả để thu thập thông tin đăng nhập, lớp phủ này sẽ hiển thị thông báo cảnh báo yêu cầu nạn nhân sao lưu cụm từ hạt giống trong vòng 12 giờ, nếu không sẽ có nguy cơ mất quyền truy cập vào ví.

Khi phân tích cụ thể chức năng của Crocodilus, các nhà bảo mật cho biết, trojan này có khả năng thực hiện một loạt các hoạt động cụ thể như sau: