資安公司 Threat Fabric 發現一款全新行動惡意程式「Crocodilus」,對 Android 用戶構成重大威脅,它會利用假覆蓋畫面誘騙用戶透露敏感的加密貨幣種子短語。該惡意程式能接管用戶裝置,甚至可能將加密錢包資產全部掏空。
Threat Fabric 分析師於 3 月 28 日詳細說明Crocodilus 如何透過畫面覆蓋誘騙用戶,要求他們在指定期限內備份加密錢包金鑰;若用戶輸入密碼,畫面會出現警告:「請於 12 小時內在設定中備份錢包金鑰。否則應用程式將會重設,您有可能失去錢包的使用權限。」這種社交工程手法引導用戶提供種子短語,讓惡意程式利用輔助記錄器蒐集關鍵資訊。
攻擊者一旦取得種子短語,即可完全掌控該錢包。雖然 Crocodilus 才剛被公開發現,卻已展現現代銀行惡意軟體的高階功能,包括覆蓋式攻擊、通過螢幕擷取的複雜數據竊取技術,以及遠端操控裝置。
Threat Fabric 指出,最初感染通常發生在用戶不慎下載夾帶惡意程式的其他軟體時,這樣可有效繞過 Android 13 的安全防護。安裝後,Crocodilus 會要求用戶啟用輔助功能,以便駭客取得存取權。成功取得權限後,該程式會連接至指揮與控制伺服器接收指令,包括目標應用程式清單及相關覆蓋畫面。
Crocodilus 持續運作,監控應用程式活動並佈署覆蓋頁攔截用戶認證資訊。若開啟到指定銀行或加密貨幣應用程式,假覆蓋會遮蔽合法活動,駭客便能控制裝置並靜音操作期間聲音。
攻擊者取得個資及身分認證後,可遠端執行偽冒交易且難被察覺。
Threat Fabric 的行動威脅情報團隊發現該惡意程式目前以土耳其和西班牙用戶為攻擊目標,預計將來會擴及更多地區。調查顯示開發者或許通曉土耳其語,依程式註解推斷,可能屬於名為 Sybra 的威脅行為者,或有其他駭客測試新軟體。
Crocodilus 的出現,揭示了行動銀行木馬在複雜性和風險層級上的顯著提升。Threat Fabric 指出,它具備裝置接管、遠端操控與黑色覆蓋攻擊等能力,在新型惡意威脅中展現少見的成熟度。