警惕“鳄鱼”…新木马病毒瞄准 Android 金融应用程序

[安全新闻记者韩世熙] 人们发现了一种新的特洛伊木马，它针对 Android 设备上的银行和加密货币应用程序信息。

荷兰信息安全公司 Threadfabrik 宣布检测到一种名为“Crocudilus”的新木马，该木马结合了远程控制、屏幕覆盖和社会工程等多种技术。

Crocodilus 通过伪装成 Google Chrome 的植入器安装在 Android 设备上，绕过了 Android 13+ 的安全功能。安装后，它会向 Android 的辅助功能服务请求激活权限并连接到远程服务器。这包括提供设备上安装的金融应用程序列表和可用于窃取登录凭据的 HTML 覆盖。

该恶意软件持续运行，监视应用程序活动并显示覆盖屏幕。它可以记录受害者设备屏幕上的所有活动，并截取 Google Authenticator 应用程序内容的屏幕截图。

Crocodilus 还会窃取设备上安装的加密货币钱包应用程序的登录信息。然后，它会显示一条警告，告诉惊讶的用户“在 12 小时内备份您的‘种子短语’以恢复加密货币”，就好像用户的加密货币受到了攻击一样，然后在惊讶的用户输入种子短语后立即拦截它。

输入的信息通过利用辅助功能服务传递给攻击者，从而允许他们控制设备。不要创建虚假的登录页面，而是让用户自己输入敏感信息。

他们还使用了一种覆盖黑屏并静音的技术，使设备看起来好像没有工作，从而阻止用户注意到恶意软件正在运行。

ThreatFabric 表示，“Crocodilus 是一种早期恶意软件，但它已经展示了设备控制获取、远程控制和黑屏覆盖攻击等高级功能”，并补充道，“它是近期恶意软件复杂性和高风险的一个很好的例子。”