- Crocodilus-Malware nutzt gefälschte Backup-Warnungen, um Seed-Phrasen von Krypto-Wallets zu stehlen.
- Die Schadsoftware umgeht Android-Sicherheitsmaßnahmen und ermöglicht Angreifern die vollständige Fernsteuerung betroffener Geräte.
Sicherheitsforscher von ThreatFabric haben eine Bedrohung identifiziert, die speziell darauf ausgerichtet ist, Kryptowährungen durch den Diebstahl von Wallet-Seed-Phrasen zu entwenden.
Die Malware, die derzeit hauptsächlich Nutzer in Spanien und der Türkei ins Visier nimmt, tarnt sich als legitime Anwendung und umgeht die Sicherheitsmaßnahmen von Android 13 und neueren Versionen.
Nach der Installation fordert Crocodilus Zugriff auf den Accessibility Service des Geräts an, was den Angreifern weitreichende Kontrolle über das betroffene Gerät ermöglicht.
Security firm ThreatFabric has discovered an Android malware called Crocodilus that targets cryptocurrency wallets by stealing seed phrases. The malware disguises itself as crypto-related apps and uses social engineering to trick users into backing up their keys, then exploits…
— Wu Blockchain (@WuBlockchain) March 31, 2025
Raffinierte Social-Engineering-Taktiken
Was Crocodilus besonders gefährlich macht, ist seine Verwendung von Social Engineering. Die Malware zeigt eine gefälschte Warnmeldung an, die Nutzer auffordert, ihren Wallet-Key innerhalb von 12 Stunden zu sichern, andernfalls drohe der Verlust des Zugangs zur Wallet.
„Dieser Social-Engineering-Trick führt das Opfer dazu, zu seiner Seed-Phrase (Wallet-Key) zu navigieren, wodurch Crocodilus den Text mit seinem Accessibility-Logger erfassen kann“,
erklären die Forscher von ThreatFabric.
„Mit diesen Informationen können Angreifer die vollständige Kontrolle über die Wallet übernehmen und sie vollständig leeren“.
Umfassende Kontrolle und Datendiebstahl
Crocodilus verfügt über ein umfangreiches Arsenal an Funktionen, die weit über den Diebstahl von Kryptowährungen hinausgehen. Die Malware unterstützt 23 verschiedene Befehle, darunter die Aktivierung von Anrufweiterleitungen, das Starten bestimmter Anwendungen, das Senden von SMS an Kontakte und das Anfordern von Geräteadministratorrechten.
Besonders besorgniserregend ist die Remote-Access-Trojan (RAT)-Funktionalität, die es den Betreibern ermöglicht, auf dem Bildschirm zu tippen, durch die Benutzeroberfläche zu navigieren und Wischgesten durchzuführen.
Die Malware kann auch Screenshots der Google Authenticator-Anwendung erstellen und Einmalpasswörter erfassen, die für den Zwei-Faktor-Authentifizierungsschutz verwendet werden.
Während diese Aktionen ausgeführt werden, kann Crocodilus einen schwarzen Bildschirm aktivieren und das Gerät stummschalten, um die Aktivität vor dem Opfer zu verbergen und den Eindruck zu erwecken, als sei das Gerät gesperrt.
Die Verbreitung erfolgt typischerweise durch bösartige Websites, gefälschte Werbung in sozialen Medien oder SMS und Drittanbieter-App-Stores.
Android-Nutzern wird empfohlen, keine APKs außerhalb des Google Play Stores herunterzuladen und sicherzustellen, dass Play Protect auf ihren Geräten immer aktiviert ist.
Obwohl Crocodilus derzeit ein spezifisches Targeting auf Spanien und die Türkei beschränkt, könnte die Malware ihre Operationen bald ausweiten und weitere Apps zu ihrer Zielliste hinzufügen.
