Android銀行木馬病毒Crocodilus已發起新一輪攻擊行動,目標直指歐洲和南美洲的加密貨幣用戶及銀行客戶。
Crocodilus於2025年3月首次被偵測到,早期樣本主要侷限於土耳其地區,當時該惡意程式偽裝成線上賭場應用或冒充銀行應用,竊取用戶登入憑證。
根據ThreatFabric移動威脅情報(MTI)團隊的最新調查,這一威脅現已擴展至波蘭、西班牙、阿根廷、巴西、印度尼西亞、印度和美國等國家。
針對波蘭用戶的攻擊活動巧妙利用Facebook廣告推廣虛假忠誠度應用。用戶點擊廣告後會被重新導向至惡意網站,該網站會傳遞Crocodilus植入程式,從而繞過Android 13+系統的安全限制。
Facebook透明度資料揭露,這些廣告僅在一至兩小時內就已觸及數千名用戶,主要針對35歲以上人群。
Crocodilus針對銀行和加密貨幣應用
一旦被安裝,Crocodilus會在合法銀行和加密貨幣應用上覆蓋虛假登入頁面。在西班牙,它偽裝成瀏覽器更新程式,幾乎攻擊所有主要銀行。
除地域擴張外,Crocodilus還新增了多項功能。一項顯著升級是能夠修改受感染裝置的聯絡人清單,使攻擊者能夠插入標記為「銀行客服」的電話號碼,這可被用於社會工程學攻擊。
另一關鍵增強功能是針對加密貨幣錢包的自動助記詞採集器。Crocodilus惡意軟體現可更精準地提取助記詞和私鑰,為攻擊者提供預處理資料,實現快速帳戶接管。
同時,開發者透過深層混淆技術強化了Crocodilus的防禦能力。最新變種採用打包程式碼、額外的 XOR 加密和刻意複雜化的邏輯設計,有效抵抗逆向工程分析。
MTI 分析師還觀察到針對加密貨幣挖礦應用和歐洲數位銀行的小規模攻擊活動。
該報告指出:「與其前代版本類似,Crocodilus的新變種對加密貨幣錢包應用格外關注。這一變種配備了額外的解析器,能更有效地提取特定錢包的助記詞和私鑰。」
加密貨幣竊取器作為惡意軟體出售
在4月22日發布的報告中,加密貨幣鑑識與合規公司 AMLBot 披露,隨著生態系統演變為軟體即服務商業模式,加密貨幣竊取器(專為竊取加密貨幣設計的惡意軟體)已變得更易取得。
報告顯示,惡意軟體傳播者僅需支付100-300枚泰達幣(USDT)即可租用竊取器。
5月19日,有消息披露中國印表機製造商 Procolored 在其官方驅動程式中分發了比特幣竊取惡意軟體。