新型恶意软件Crocodilus伪装成加密应用，窃取Android用户钱包种子短语

近日，一款名为“Crocodilus”的新型恶意软件正在针对Android用户的加密货币钱包展开攻击。该恶意软件通过伪装成与加密货币相关的应用程序，利用复杂的社会工程技术欺骗用户交出其钱包的种子短语。

据欺诈预防公司威胁的研究人员介绍，Crocodilus是一种移动银行木马。它使用遥控器、黑屏覆盖物以及通过可访问性服务记录进行高级数据收集的技术，专门针对加密货币持有者的敏感信息。

威胁情报负责人Aleksandar Eremin在接受解密采访时指出：“这种恶意软件伪装成加密货币相关的应用程序，并使用特定的社会工程技术诱导受害者泄露存储在加密货币钱包中的秘密。”他补充道，“这表明它的目标是针对加密货币钱包用户的特定兴趣。”

Crocodilus的主要攻击手段之一是通过弹出虚假警告消息，要求用户备份其钱包密钥以避免失去访问权限。例如，用户可能会看到类似以下的消息：“在12小时内备份设置中的钱包钥匙。否则，应用程序将被重置，并且您可能会失去对钱包的访问权限。”

此外，Crocodilus还通过专有滴管（dropper）绕过Android 13或更高版本的安全保护进行分发。一旦安装，恶意软件会请求可访问性服务权限，从而绕过相关限制并部署屏幕覆盖层来获取密码。

更令人担忧的是，Crocodilus还可以充当远程访问木马（RAT），允许操作员浏览用户界面、使用手势控件滑动甚至截取屏幕截图。据研究人员透露，这使得攻击者可以访问Google Authenticator生成的两因素身份验证密码。

为了掩盖其行为，Crocodilus会使用黑屏覆盖层隐藏所有远程操作，使用户无法察觉设备上正在进行的操作。

谁是Crocodilus的目标？

目前，Crocodilus似乎主要针对西班牙和土耳其的用户。该恶意软件最初是以土耳其和西班牙用户为目标，并使用了土耳其语的调试语言。

然而，研究人员表示，尚不清楚初始滴管是如何被下载的，因此该威胁可能已经扩散到其他国家和地区。

据悉，攻击者通过恶意网站、社交媒体、虚假促销活动、短信和第三方应用程序商店诱导用户下载滴管。为降低风险，Android用户应仅从Google Play商店下载应用程序，避免从未知来源安装APK文件。

尽管Crocodilus是移动威胁领域的新面孔，但其丰富的功能集使其有可能成为地下市场上恶意软件服务的重要竞争者。Eremin告诉解密：“它的技术能力和多功能性可能使其迅速崛起。”

编辑：Stacy Elliott.