什么是鳄鱼恶意软件(Crocodilus)?

Crocodilus是最新的一款安卓加密恶意软件,旨在窃取您的加密资产。

Crocodilus是一种复杂的恶意软件,可以从Android设备中窃取数字资产。 Crocodilus以散布在其代码中的鳄鱼引用命名,针对Android 13设备或更高版本。 Android钱包恶意软件利用覆盖层、远程访问和社交工程来接管您的设备并耗尽您的加密钱包。 

Crocodilus Malware disclosed by ThreatFabric

防欺诈公司Threat Fabric于2025年3月发现了Crocodilus恶意软件,并发布了关于这种新病毒的详细研究。 截至2025年4月,西班牙和土耳其的用户是主要目标。 Threat Fabric预测鳄鱼将在未来几个月内全球扩张。

鳄鱼病毒(Crocodilus)感染安卓设备的运作机制

Crocodilus的主要感染方式尚不清楚,但很可能与其他恶意软件类似。

与典型的加密钱包恶意软件不同,Crocodilus与您的设备集成得有多深。 它不仅仅是通过社交工程欺骗你。它完全控制了你的Android。

虽然感染的主要原因尚不清楚,但此类恶意软件通常以几种方式出现:

  • 虚假应用程序:Crocodilus可能会伪装成Google Play商店或第三方应用程序托管网站上的合法加密货币相关应用程序。 Threat Fabric表示,该恶意软件可以绕过谷歌Play商店的安全扫描程序。
  • 短信促销:短信诈骗越来越普遍。 如果您收到一条带有可疑链接的随机短信,请不要点击它。它可能会将您重定向到一个下载恶意软件的页面。
  • 恶意广告:在成人或软件盗版网站上,受感染的广告泛滥成灾。 每个广告都经过精心布局,让你一不小心就会点击,而只需轻轻一点,恶意软件就会下载。 
  • 网络钓鱼尝试:一些恶意软件活动会发送冒充加密货币交易所的恶意网络钓鱼电子邮件。 仔细检查发件人的电子邮件地址,以验证其合法性。

The malware needs accessibility permissions to display overlays

一旦Crocodilus感染了您的设备,恶意软件就会请求可访问性服务权限。 接受这些权限会将Crocodilus连接到其命令和控制(C2)服务器,攻击者可以在该服务器上显示屏幕叠加、跟踪击键或激活远程访问以控制您的设备。

然而,该恶意软件的主要识别特征是它的钱包备份技巧。 如果你使用密码或PIN登录你的加密货币钱包应用程序,Crocodilus会显示一个假的覆盖层。上面写着:

“在12小时内将您的钱包密钥备份到设置中。否则,应用程序将被重置,您可能会失去对钱包的访问权限。”

如果你点击“继续”,Crocodilus会提示你输入种子短语。 恶意软件通过键盘记录器追踪你的输入。 然后,攻击者就拥有了窃取您资产所需的一切。

Crocodilus的假冒覆盖层模仿了合法的钱包软件。 它的“继续”按钮很容易按下,但要知道,一个可识别的钱包应用程序永远不会以这种方式敦促你备份钱包。 如果您看到此叠加,请卸载该应用程序并考虑在设备上进行全新安装。

Crocodilus threatens users with a time limit, attempting to scare them into clicking

不幸的是,这只是个开始。 Crocodilus通过其屏幕记录器绕过双因素身份验证(2FA)过程,从Google Authenticator等应用程序中捕获验证码,并将其发送到C2。

最糟糕的是,Crocodilus会显示黑色的屏幕,并使设备的音频静音,以掩盖其活动。 它让你感觉你手机被锁定了,同时在后台悄悄地窃取你的资产。 

该恶意软件总共可以执行45条命令,包括:

  • 短信接管:Crocodilus可以检索您的短信,向您的联系人列表发送短信,甚至可以使其成为您的默认短信应用程序。
  • 远程访问:恶意软件完全控制您的设备,允许其打开应用程序、激活摄像头或启动屏幕录制器。
  • 修改文本:当Crocodilus欺骗你输入钱包信息时,它可以更改或生成文本,以帮助C2使用它在你的设备上找到的数据访问你的私人应用程序。

您知道吗? 对加密钱包的隐秘恶意软件威胁很常见。零点击攻击——无需你任何输入即可感染你的设备的恶意软件——是2025年另一种形式的加密恶意软件。

若已遭鳄鱼病毒(Crocodilus)攻击,应急处理指南

成为鳄鱼的受害者需要立即采取行动。

如果您是安卓木马Crocodilus的受害者,请立即遵循以下加密钱包保护提示:

  • 隔离您的设备:断开您的设备与Wi-Fi或数据的连接,然后将其关闭。如果可能的话,取出电池。
  • 恢复您的资产:您应该将钱包的种子短语存储在安全的物理位置。 使用它来将您的钱包恢复到未受损害的设备上。
  • 清除受感染的设备:不幸的是,使用受感染的设备会带来巨大的风险。 恢复出厂设置可能无法清除恶意软件。 转移到另一台设备是最安全的选择。
  • 报告威胁:如果您下载了恶意应用程序,例如来自Google Play商店的应用程序,请向相关方报告。

您知道吗? 如果你失去了你的加密资产,就无法再找回它们。 有些人可能会认为这是去中心化的缺点之一——缺乏中央权威来监控和确保盗窃。

鳄鱼病毒(Crocodilus)攻击检测指南

定期检查对保护您的加密货币大有帮助。 了解如何检测加密恶意软件。

当鳄鱼秘密操纵你的设备时,有一些感染的迹象需要注意。 

如果您怀疑受到鳄鱼攻击,请按照以下步骤在Android上保护加密货币:

  • 可疑应用程序活动:检查您的设备活动跟踪器。 加密货币或银行应用程序的意外增长可能是引起关注的原因。
  • 检查应用程序权限:定期查看您允许的应用程序权限,特别是那些请求辅助功能权限的权限。 
  • 电池耗电量增加:感染的一个小但重要的迹象是电池耗电量增加。 如果您的电池耗电速度比平时快,您的手机可能在后台运行恶意软件。 
  • 数据使用量激增:Crocodilus不断向其C2服务器传输数据。 监控您的数据使用情况,并注意任何突然增加的情况。 这是你的钱包应用程序被入侵的最明显迹象之一。

防范鳄鱼病毒(Crocodilus)攻击的安全指南

预防是最好的保护。

根据区块链分析公司Chainalysis的数据,2024年估计有510亿美元的加密货币通过加密黑客窃取。 该组织预计,到2025年及以后,这一数字将增加。 随着我们继续向去中心化数字金融迈进,网络安全比以往任何时候都更加重要。

虽然不可能百分之百地免受网络威胁,但可以考虑采取以下行为来保护自己。 2025年加密钱包的安全性比以往任何时候都更重要:

  • 安全浏览:避免访问可疑网站,这些网站会诱使用户下载Crocodilus和其他窃取加密密钥的恶意软件。
  • 使用硬件钱包:截至2025年4月,Crocodilus专门针对Android设备。 将加密货币保存在硬件钱包中可以限制恶意软件的范围。  
  • 仔细检查应用程序下载:不要从不安全的网站下载应用程序。 一定要仔细检查谷歌应用商店中的应用,只下载那些你确信是官方应用。
  • 检查官方来源:关注信誉良好的网络安全网站、子论坛和其他空间,以了解鳄鱼保护方法的最新情况。

最后,警惕意外的备份提示,并监控应用程序的行为,以发现可疑活动。