Cybersicherheitsexperten von ThreatFabric haben eine hochentwickelte Android-Malware namens Crocodilus identifiziert, die durch ausgeklügelte Social-Engineering-Techniken gezielt Kryptowährungen stiehlt. Die Schadsoftware zeichnet sich durch ihre Fähigkeit aus, moderne Android-Sicherheitsmechanismen zu umgehen und Seed-Phrasen von Krypto-Wallets unter dem Vorwand von Backup-Prozessen zu entwenden.
Innovative Verbreitungsmethoden und technische Raffinesse
Crocodilus nutzt einen spezialisierten Dropper, der selbst die Sicherheitsfunktionen von Android 13 und neueren Versionen überwindet. Bemerkenswert ist die Fähigkeit der Malware, sich ohne Aktivierung von Google Play Protect zu installieren und Zugriff auf den kritischen Accessibility Service zu erlangen, wodurch weitreichende Manipulationsmöglichkeiten entstehen.
Fortschrittliche Angriffsmethoden und Funktionalität
Nach erfolgreicher Installation erhält der Trojaner umfassende Kontrolle über das infizierte Gerät. Durch den Accessibility Service kann Crocodilus Bildschirminhalte auslesen, Benutzereingaben überwachen und Navigationsgesten simulieren. Bei der Nutzung von Banking- oder Krypto-Apps werden gefälschte Overlays eingeblendet, die der Erfassung sensibler Daten dienen.
Psychologisch ausgefeilte Social-Engineering-Taktiken
Die Malware setzt auf raffinertes psychologisches Engineering: Sie präsentiert täuschend echte Warnmeldungen, die einen angeblich notwendigen Backup-Prozess des Wallet-Schlüssels innerhalb von 12 Stunden fordern. Nutzer, die dieser Aufforderung folgen und ihre Seed-Phrase eingeben, übermitteln diese unwissentlich direkt an die Angreifer.
Remote-Access-Funktionalität und Kontrollfähigkeiten
Als Remote Access Trojan (RAT) verfügt Crocodilus über 23 verschiedene Fernsteuerungsbefehle. Die Malware ermöglicht Screenshots, das Abgreifen von 2FA-Codes aus Google Authenticator und kann ihre Aktivitäten durch schwarze Overlays oder Stummschaltung tarnen.
Geografische Ausbreitung und Bedrohungspotenzial
Aktuell konzentrieren sich die Angriffe hauptsächlich auf die Türkei und Spanien, wobei Debug-Logs auf türkischen Ursprung hinweisen. Sicherheitsexperten warnen vor einer wahrscheinlichen geografischen Ausweitung der Kampagne und einer Zunahme der anvisierten Anwendungen.
Angesichts der steigenden Komplexität von Banking-Trojanern und ihrer Fähigkeit, Sicherheitsmechanismen zu umgehen, ist erhöhte Wachsamkeit geboten. Nutzer sollten Apps ausschließlich aus verifizierten Quellen installieren, regelmäßige Sicherheitsupdates durchführen und besonders vorsichtig bei Anfragen nach Wallet-Schlüsseln oder Seed-Phrasen sein. Legitime Dienste fordern niemals die Preisgabe von Seed-Phrasen. Zusätzlich empfiehlt sich die Verwendung aktueller Antivirensoftware und die regelmäßige Überprüfung der App-Berechtigungen.
