Onderzoekers van het beveiligingsbedrijf ThreatFabric hebben een nieuwe vorm van Android-malware ontdekt die zich richt op bankklanten en gebruikers van cryptowallets. De malware, die de naam Crocodilus heeft gekregen, blijkt in staat om automatisch contacten toe te voegen aan de adresboeken van besmette toestellen. Volgens de onderzoekers wordt deze truc vermoedelijk ingezet voor bankhelpdeskfraude, een vorm van oplichting waarbij slachtoffers telefonisch worden benaderd door criminelen die zich voordoen als bankmedewerkers.
Nepcontacten
De verspreiding van Crocodilus vindt voornamelijk plaats via misleidende advertenties op Facebook. Deze advertenties wekken de indruk afkomstig te zijn van betrouwbare partijen, zoals banken die zogenaamd bonuspunten aanbieden bij installatie van een app, of doen zich voor als noodzakelijke browserupdates of apps van online casino’s. Zodra de gebruiker de nep-app downloadt en installeert, wordt het toestel geïnfecteerd.
Bankhelpdesk
Een van de meest opvallende functionaliteiten van Crocodilus is het toevoegen van eigen contacten aan de smartphone. Dit stelt aanvallers in staat om bijvoorbeeld een telefoonnummer op te slaan onder de naam ‘bankhelpdesk’. Als het slachtoffer vervolgens gebeld wordt, lijkt dit op een legitiem telefoontje van de bank. Hiermee omzeilen criminelen ook beveiligingsmaatregelen die gebruikers waarschuwen voor onbekende of verdachte nummers.
Malware
De malware biedt aanvallers bovendien uitgebreide toegang tot het toestel. Ze kunnen op afstand handelingen uitvoeren, zoals het openen van bankapps, het onderscheppen van sms-berichten, en het uitlezen van codes. Ook cryptowallets zijn doelwit: Crocodilus probeert zogenaamde seed phrases en private keys te stelen, de sleutels tot de digitale portemonnee van de gebruiker. Waar aanvankelijk sociale manipulatie werd gebruikt om deze informatie te ontfutselen, maakt de malware nu gebruik van Android’s AccessibilityLogging. Hierdoor kunnen gevoelige gegevens automatisch worden uitgelezen, zonder dat de gebruiker dit merkt.
De malwarecampagnes waarbij gebruik wordt gemaakt van nepcontacten zijn gesignaleerd in meerdere Europese landen en in Zuid-Amerika. Gebruikers worden geadviseerd om nooit apps buiten de officiële appstores te installeren en kritisch te zijn op advertenties die onverwachte voordelen of updates beloven.