Android银行木马病毒Crocodilus已发起新一轮攻击行动,目标直指欧洲和南美洲的加密货币用户及银行客户。
Crocodilus于2025年3月首次被侦测到,早期样本主要局限于土耳其地区,当时该恶意程序伪装成在线赌场应用或冒充银行应用,窃取用户登录凭证。
根据ThreatFabric移动威胁情报(MTI)团队的最新调查,这一威胁现已扩展至波兰、西班牙、阿根廷、巴西、印度尼西亚、印度和美国等国家。
针对波兰用户的攻击活动巧妙利用Facebook广告推广虚假忠诚度应用。用户点击广告后会被重定向至恶意网站,该网站会传递Crocodilus植入程序,从而绕过Android 13+系统的安全限制。
Facebook透明度数据揭示,这些广告仅在一至两小时内就已触及数千名用户,主要针对35岁以上人群。
Crocodilus针对银行和加密货币应用
一旦被安装,Crocodilus会在合法银行和加密货币应用上覆盖虚假登录页面。在西班牙,它伪装成浏览器更新程序,几乎攻击所有主要银行。
除地域扩张外,Crocodilus还新增了多项功能。一项显著升级是能够修改受感染设备的联系人列表,使攻击者能够插入标记为"银行客服"的电话号码,这可被用于社会工程学攻击。
另一关键增强功能是针对加密货币钱包的自动助记词采集器。Crocodilus恶意软件现可更精准地提取助记词和私钥,为攻击者提供预处理数据,实现快速账户接管。
同时,开发者通过深层混淆技术强化了Crocodilus的防御能力。最新变种采用打包代码、额外的 XOR 加密和刻意复杂化的逻辑设计,有效抵抗逆向工程分析。
MTI 分析师还观察到针对加密货币挖矿应用和欧洲数字银行的小规模攻击活动。
该报告指出:"与其前代版本类似,Crocodilus的新变种对加密货币钱包应用格外关注。这一变种配备了额外的解析器,能更有效地提取特定钱包的助记词和私钥。"
加密货币窃取器作为恶意软件出售
在4月22日发布的报告中,加密货币取证与合规公司 AMLBot 披露,随着生态系统演变为软件即服务商业模式,加密货币窃取器(专为窃取加密货币设计的恶意软件)已变得更易获取。
报告显示,恶意软件传播者仅需支付100-300枚泰达币(USDT)即可租用窃取器。
5月19日,有消息披露中国打印机制造商 Procolored 在其官方驱动程序中分发了比特币窃取恶意软件。
相关推荐:韩国选举亲加密候选人李在明为总统