Die Neue Malware, die Krypto -Brieftaschen Leder

Eine neue Malware namens Krokodil zielt auf Android-Geräte ab, um private Schlüssel, sensible Anmeldedaten und Zwei-Faktor-Authentifizierungscodes (2FA) aus Kryptowährungs-Wallets zu stehlen. Ursprünglich in Spanien und der Türkei entdeckt, verwendet Crocodilus hochentwickelte Techniken der sozialen Ingenieurkunst, Fernsteuerung und Phishing über Overlay, um die vollständige Kontrolle über das Gerät des Opfers zu übernehmen. Die Bedrohung wird als schnell fortschreitend und mit einem globalen Verbreitungspotenzial angesehen.

Untersuchen wir im Detail die technischen Merkmale von Crocodilus, seine Funktionsweise und die Gegenmaßnahmen, die ergriffen werden sollten.

Was ist der Crocodilus-Malware

Crocodilus gehört zur Kategorie der Android-Banking-Trojaner und wurde vom Threat Fabric-Team als eine modulare und fortschrittliche mobile Bedrohung identifiziert. Obwohl es sich um eine relativ neue Variante handelt, weist es bereits typische Merkmale der mobilen Malware der neuen Generation auf:

• Overlay-Angriffe
• Tastaturprotokollierung
• Fernzugriff und Steuerung des Geräts
• Trick zur Umgehung der fortschrittlichen Android-Abwehrmechanismen

Die Malware verhält sich wie ein klassischer Geräteübernahme Trojanerindem sie bei der Installation die Aktivierung des Barrierefreiheitsdienstes verlangt, was ihr vollständigen Zugriff auf den Bildschirm, die virtuelle Tastatur und die Möglichkeit zur Simulation von Berührungen oder Eingaben gewährt.

Angriffstechniken eingesetzt

Die Betriebsmodi von Crocodilus basieren auf einer tödlichen Kombination aus Social Engineering und der Ausnutzung der für den Betrieb erforderlichen Genehmigungen.

Hauptfunktionen der Malware:

• Vollständiger Zugriff auf das Gerät durch Missbrauch des Accessibility-Dienstes
• Phishing-Technik über Overlay, um sensible Daten zu erfassen
• Erweiterter Keylogger mit Eingabemöglichkeiten auch in sicheren Apps
• Unsichtbare Screenshots für den Benutzer, um Codes von 2FA-Apps zu stehlen
• Kommunikation mit C2-Server zur Übertragung der gestohlenen Daten
• Aktive Umgehung der Schutzmechanismen von Android 13+ Systemen

Verbreitung und Zweck

Die Malware wurde erstmals in Spanien und der Türkei identifiziert, aber die Forscher prognostizieren eine schnelle globale Ausweitung ihrer Reichweite. Das Hauptziel von Crocodilus ist der systematische Diebstahl von Kryptowährungeninsbesondere von den wichtigsten auf Android installierten Krypto-Apps.

Zu den identifizierten Zielen:

• Crypto-Wallets (Vertrauensbrieftasche, Metamaske, Exodus)
• Bank- und Investitions-Apps
• App zur Zwei-Faktor-Authentifizierung (Google Authenticator, Authy, etc.)

Mechanismus des 2FA-Diebstahls und der Seed-Phrase

Einer der tückischsten Aspekte von Crocodilus ist seine Fähigkeit, Originalbildschirme von Wallet-Apps zu simulierenwodurch der Benutzer dazu verleitet wird, kritische Daten wie die Seed-Phrase preiszugeben. Dies geschieht durch gefälschte Nachrichten, die im Overlay angezeigt werden, zum Beispiel:

„Sichere den Schlüssel deines Portfolios in den Einstellungen innerhalb von 12 Stunden. Andernfalls wird die App zurückgesetzt.“

Diese Strategie drängt den Benutzer dazu, auf seine Seed-Phrase zuzugreifen, die dank der Bildschirmaufzeichnungsfunktion der Malware in Kombination mit dem Keylogger erfasst wird.

Parallel dazu ist Crocodilus in der Lage, Screenshots von temporären Authentifizierungs-Apps zu erfassenwodurch der Schutz durch 2FA-Codes umgangen wird. Sobald sie den privaten Schlüssel und den temporären Code besitzen, haben die Angreifer vollständigen Zugriff auf das kompromittierte Wallet.

Unterschiede im Vergleich zu anderen mobilen Bedrohungen

Ähnliche Bedrohungen wurden auch in der Vergangenheit gemeldet. Das FBI hat beispielsweise im Oktober 2024 eine Warnung vor der Malware SpyAgent herausgegeben, die nordkoreanischen APT-Gruppen zugeschrieben wird. Crocodilus weist jedoch ein höheres Maß an Raffinesse auf, insbesondere für:

• Die Fähigkeit, dynamisch mit der Benutzeroberfläche zu interagieren
• Der synergetische Einsatz von Overlay und Zugänglichkeit
• Eine regelmäßig aktualisierte modulare Infrastruktur

All diese Eigenschaften machen es zu einem Malware, die von den traditionellen mobilen Antiviren-Tools nur schwer zu erkennen ist.

Wie man sich schützt

Um die Wirksamkeit von Crocodilus zu bekämpfen, ist es entscheidend, präventive Maßnahmen sowohl als Benutzer als auch als Entwickler von Finanzanwendungen zu ergreifen.

Tipps für Android-Nutzer:

• Vermeiden Sie das Herunterladen von Apps aus inoffiziellen Stores oder Links
• Verdächtige Anfragen zur Aktivierung des Accessibility-Dienstes ablehnen
• Android und die installierten Apps auf dem neuesten Stand halten
• Zuverlässige Antivirus-Anwendungen installieren
• Aktivieren Sie die Zwei-Faktor-Authentifizierung nur über Programme, die biometrischen Schutz unterstützen
• Vermeiden Sie es, Ihre Seed-Phrase öffentlich zu speichern oder anzuzeigen

Signale, die auf eine Infektion hinweisen könnten:

• Auftreten unbekannter Bildschirme oder gefälschter Popups
• Plötzliche Verhaltensänderung bereits installierter Apps
• Verlangsamungen und anomales Verhalten des Telefons
• Apps, die ohne Grund zu invasive Berechtigungen anfordern

Hinweise für Entwickler:

• Begrenzen Sie die Verwendung nicht wesentlicher Overlays in sensiblen Apps
• Hinzufügen der aktiven Barrierefreiheitserkennung in der Crypto-App, um den Benutzer zu benachrichtigen
• Stärkung des Schutzes vor Bildschirmaufnahmen und Screenshots bei kritischen Fenstern
• Anomale Muster über serverseitig integrierte Betrugserkennungssysteme überwachen

Nützliche Referenzen:

• Bedrohung Fabric – Mobile Threat Report 2024
• FBI-Warning vor Spyagent (Oktober 2024)
• Google-Dokumentation zur Barrierefreiheit und Android 13+
• CVE-Datensatz – bekannte Schwachstellen in den verwendeten Apps konsultieren

Fazit

Crocodilus stellt einen neuen Standard in der mobilen Bedrohung für Android dar, mit hohen zerstörerischen Potenzialen in der Welt der crypto. Seine Arbeitsweise, die geschickt psychologische Täuschungstechniken mit dynamischer Interaktion auf dem infizierten Gerät kombiniert, macht es besonders schwierig, ihn abzufangen.

Ein proaktiver Ansatz in den Verteidigungen – zusammen mit einem größeren Bewusstsein seitens der Benutzer – kann den Unterschied zwischen dem Schutz des eigenen digitalen Kapitals und einer irreversiblen Verletzung ausmachen.