資安公司 Threat Fabric 28 日警告,最近出現一款全新 Android 手機惡意軟體 Crocodilus,該惡意程式可透過在特定應用上偽造畫面覆蓋,誘使用戶輸入加密貨幣錢包的密碼與助記詞,進而竊取加密資產。
(前情提要:北韓比特幣儲備大增1.3萬枚「成第三大持有國」僅次美英,駭客Lazarus如何衝擊全球加密軍備賽?)
(背景補充:全球網路普及率最低》北韓駭客Lazarus為何這麼強?屢破各大企業安全網,拉薩路成金正恩賺錢機器發展核武)
資安公司 Threat Fabric 28 日揭露一款全新 Android 惡意軟體 Crocodilus ,該惡意程式可在特定應用上啟動偽造的畫面覆蓋,誘騙 Android 使用者提供加密貨幣助記詞,同時悄悄接管整個手機。
A new mobile banking Trojan has emerged—#Crocodilus. Discovered during regular threat hunting, it’s already showing capabilities that rival top malware families, including device takeover and advanced credential theft.https://t.co/RlyfFxUYHe#BankingTrojan#ThreatFabricpic.twitter.com/47zPbPfFad
— ThreatFabric (@ThreatFabric)March 28, 2025
Threat Fabric 表示,Crocodilus 會顯示一個畫面覆蓋,警告用戶必須在特定期限內備份加密貨幣錢包私鑰,否則將失去存取權限:
一旦受害者在應用中輸入密碼,畫面覆蓋就會顯示訊息:請於 12 小時內在設定中備份錢包金鑰。否則應用將被重設,您可能會失去對錢包的存取權限。
此舉旨在引導受害者前往助記詞儲存位置,使 Crocodilus 能透過其存取紀錄工具讀取並蒐集這些敏感資料,一旦攻擊者取得助記詞,他們就能完全掌控受害者的加密錢包,將所有資產盜走。
儘管 Crocodilus 是一個新出現的惡意軟體,但已具備現代銀行惡意軟體的所有關鍵功能,包括畫面覆蓋攻擊、先進的資料蒐集能力(例如透過截圖取得密碼等敏感資訊),以及遠端控制功能,足以完全操控被感染的裝置。
最初的感染手法,通常是透過其他軟體包夾帶此惡意程式,繞過 Android 13 的安全防護, 一旦安裝完成,Crocodilus 就會要求啟用「可存取性服務」,讓駭客能夠操控裝置。
攻擊範圍恐擴大
該惡意程式會持續運行,監控應用啟動情況,並顯示偽裝畫面,以攔截使用者憑證,當受害者開啟被鎖定的銀行或加密貨幣應用時,Crocodilus 就會立即啟動假畫面,同時將手機靜音,讓駭客在毫無察覺的情況下接管裝置。
Threat Fabric 指出,該惡意軟體目前主要針對土耳其和西班牙用戶,但未來攻擊範圍可能擴大,Crocodilus 手機銀行木馬程式的出現,標誌著惡意軟體在複雜度與威脅層級上的又一次重大升級。