Trojan ngân hàng Crocodilus đang mở rộng phạm vi hoạt động trên toàn cầu với các chiến dịch mới nhắm mục tiêu vào ví tiền điện tử và ứng dụng ngân hàng, hiện đã lan rộng đến châu Âu và Nam Mỹ.
Được phát hiện lần đầu vào tháng 3 năm 2025, các mẫu Crocodilus ban đầu chủ yếu giới hạn ở Thổ Nhĩ Kỳ, nơi phần mềm độc hại này giả dạng các ứng dụng sòng bạc trực tuyến hoặc giả mạo ứng dụng ngân hàng để đánh cắp thông tin đăng nhập.
Tuy nhiên, các chiến dịch gần đây cho thấy Trojan này đang mở rộng phạm vi tiếp cận, hiện đang tấn công các mục tiêu ở Ba Lan, Tây Ban Nha, Argentina, Brazil, Indonesia, Ấn Độ và Hoa Kỳ, theo nghiên cứu mới từ nhóm Mobile Threat Intelligence (MTI) của ThreatFabric.
Một chiến dịch nhắm vào người dùng Ba Lan đã khai thác Quảng cáo trên Facebook để quảng bá các ứng dụng khách hàng thân thiết giả mạo. Nhấp vào quảng cáo sẽ chuyển hướng người dùng đến các trang web độc hại, cung cấp trình thả Crocodilus, vượt qua các hạn chế của Android 13+.
Dữ liệu minh bạch của Facebook tiết lộ rằng những quảng cáo này đã tiếp cận hàng nghìn người dùng chỉ trong một đến hai giờ, tập trung vào đối tượng trên 35 tuổi.
Crocodilus malware đang lan rộng trên toàn cầu. Nguồn: ThreatFabric
CROCODILUS NHẮM MỤC TIÊU ỨNG DỤNG NGÂN HÀNG VÀ TIỀN ĐIỆN TỬ
Sau khi được cài đặt, Crocodilus sẽ phủ các trang đăng nhập giả mạo lên trên các ứng dụng ngân hàng và tiền điện tử hợp pháp. Nó ngụy trang thành bản cập nhật trình duyệt ở Tây Ban Nha, nhắm mục tiêu gần như tất cả các ngân hàng lớn.
Ngoài việc mở rộng về mặt địa lý, Crocodilus đã bổ sung các khả năng mới. Một nâng cấp đáng chú ý là khả năng sửa đổi danh sách liên hệ của các thiết bị bị nhiễm, cho phép kẻ tấn công chèn số điện thoại được gắn nhãn là “Hỗ trợ Ngân hàng”, có thể được sử dụng cho các cuộc tấn công kỹ thuật xã hội.
Một cải tiến quan trọng khác là trình thu thập cụm từ hạt giống tự động nhắm vào ví tiền điện tử. Phần mềm độc hại Crocodilus giờ đây có thể trích xuất các cụm từ hạt giống và khóa riêng tư với độ chính xác cao hơn, cung cấp cho kẻ tấn công dữ liệu đã được xử lý trước để chiếm đoạt tài khoản nhanh chóng.
Trong khi đó, các nhà phát triển đã tăng cường khả năng phòng thủ của Crocodilus thông qua việc làm rối mã sâu hơn. Biến thể mới nhất có mã được đóng gói, mã hóa XOR bổ sung và logic phức tạp có chủ ý để chống lại kỹ thuật đảo ngược.
Các nhà phân tích MTI cũng quan sát thấy các chiến dịch nhỏ hơn nhắm mục tiêu vào các ứng dụng khai thác tiền điện tử và các ngân hàng kỹ thuật số châu Âu trong bối cảnh Crocodilus ngày càng tập trung vào tiền điện tử.
Báo cáo cho biết: “Giống như người tiền nhiệm của nó, biến thể mới của Crocodilus rất chú ý đến các ứng dụng ví tiền điện tử. “Biến thể này được trang bị trình phân tích cú pháp bổ sung, giúp trích xuất các cụm từ hạt giống và khóa riêng tư của các ví cụ thể.”
Nguồn: ThreatFabric
