Android 用户请注意：一款新发现的恶意软件正在针对智能手机加密钱包。

由防欺诈公司 ThreatFabric 揭露的“Crocodilus”移动银行木马使用包括远程控制、黑屏覆盖和通过无障碍日志进行高级数据收集的工具，欺骗加密货币持有者交出他们的钱包种子短语。

ThreatFabric 的移动威胁情报负责人 Aleksandar Eremin 告诉 Decrypt，该恶意软件“伪装成与加密相关的应用程序，并涉及特定的社会工程技术，使受害者透露存储在加密货币钱包应用程序中的秘密。”他补充说，这表明其背后的行为者对针对加密货币钱包用户的“特定兴趣”。

至关重要的是，这一威胁欺骗 Android 用户提供他们自己加密货币钱包的种子短语。它通过发出警告，要求用户备份他们的密钥以避免失去访问权限。

ThreatFabric 表示，Crocodilus 通过一种专有的投放器进行分发，能够绕过 Android 13 或更高版本的安全保护。

一旦这个投放器安装了恶意软件，而不触发 Play Protect，它会请求无障碍服务权限。这使得它能够绕过无障碍服务的限制，从而部署屏幕覆盖以获取密码。

该恶意软件向用户显示一条虚假的警告信息，内容为：“请在 12 小时内在设置中备份您的钱包密钥。否则，应用程序将被重置，您可能会失去对钱包的访问。”

Crocodilus 还作为远程访问木马（RAT）工作，这意味着操作员可以导航用户界面，使用手势控制滑动，甚至截屏。根据 ThreatFabric 的说法，这使得恶意软件操作员能够使用 Google Authenticator 访问双因素身份验证密码。

该恶意软件通过使用黑屏覆盖以隐秘的方式执行所有这些操作，因此手机拥有者实际上无法看到远程执行的操作。

Crocodilus 的目标是谁？

在发布时，似乎只有西班牙和土耳其的用户受到 Crocodilus 的影响。该恶意软件最初被发现针对土耳其和西班牙的人，并使用的调试语言似乎是土耳其语。

根据 ThreatFabric 的说法，初始投放器的下载方式不太清楚，因此它可能会传播到这些地区以外。

根据 ThreatFabric 的说法，用户通过恶意网站、社交媒体、虚假促销、短信和第三方应用商店被欺骗下载投放器。Android 用户可以通过仅使用 Google Play 商店下载应用程序，而不从其他网站下载 APK 来降低风险。

Eremin 告诉 Decrypt，尽管 Crocodilus 是“移动威胁领域的新来者”，但其“丰富的功能集”可能使其成为地下市场上成熟的恶意软件即服务的竞争者。

编辑：Stacy Elliott。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。