Crocodilus木马通过伪装应用窃取登录凭证,现目标已扩展至波兰、西班牙等多国。
首次于2025年3月被发现时,早期的Crocodilus样本主要局限于土耳其。该恶意软件通过伪装成在线赌场应用或仿冒银行应用来窃取登录凭证。
Crocodilus的攻击范围扩大
根据ThreatFabric移动威胁情报(MTI)团队的发现,最近的攻击活动显示其现已波及波兰、西班牙、阿根廷、巴西、印尼、印度和美国。
- 波兰用户的攻击方式:利用Facebook广告推广虚假的忠诚度应用。点击广告会将用户重定向至恶意网站,投放Crocodilus投放器,该投放器能绕过Android 13+的限制。
- Facebook广告的影响:这些广告仅在一到两小时内就触达数千用户,主要针对35岁以上的受众。
Crocodilus的新功能与防御增强
一旦安装,Crocodilus会在合法的银行和加密货币应用上覆盖虚假登录页面。在西班牙,它伪装成浏览器更新,瞄准几乎所有主要银行。
- 新增功能:
- 修改受感染设备的联系人列表,插入标记为“银行支持”的电话号码。
- 针对加密货币钱包的自动化助记词收集器。
- 防御增强:采用打包代码、额外的XOR加密及故意复杂的逻辑以抵抗逆向工程。
加密货币抽取器的易获取性
在4月22日的报告中,AMLBot揭示加密货币抽取器变得更容易获取,传播者可以以低至100-300 USDT的价格租用抽取器。
如何保护自己免受Crocodilus的攻击?
- 避免点击不明来源的广告或链接。
- 仅从官方应用商店下载应用。
- 定期检查设备的安全设置和应用权限。
阅读原文
Cointelegraph: Crocodilus malware goes global with new crypto, banking heist features
The Crocodilus banking trojan is expanding globally with new campaigns targeting crypto wallets and banking apps, now reaching Europe and South America.
相关词条
- Crocodilus: 一种Android银行木马,最初主要针对土耳其用户,现已扩展到多个国家,通过伪装成合法应用窃取银行和加密货币登录凭证。
- ThreatFabric移动威胁情报(MTI)团队: 专注于移动威胁情报的研究团队,负责发现和分析移动设备上的恶意软件活动,如Crocodilus的最新攻击。
- 自动化助记词收集器: Crocodilus恶意软件的一项功能,能够自动提取加密货币钱包的助记词和私钥,便于攻击者快速接管账户。
- 加密货币抽取器: 一种专门设计用于窃取加密货币的恶意软件,可以通过软件即服务(SaaS)模式租用,价格相对低廉。
- AMLBot: 一家专注于加密货币取证与合规的公司,提供关于加密货币恶意软件活动的分析和报告。
可能问题
- Crocodilus恶意软件是如何绕过Android 13+的安全限制的?
- 为什么Crocodilus恶意软件特别针对加密货币钱包应用?
- 加密货币抽取器作为软件即服务业务模式对网络安全意味着什么?
- 社会工程攻击在Crocodilus恶意软件中的作用是什么?
- 如何有效防范像Crocodilus这样的高级银行木马?
