Crocodilus 银行木马
网络安全专家发现了一种名为 Crocodilus 的新型 Android 银行恶意软件,该恶意软件主要针对西班牙和土耳其的用户。与许多以现有恶意软件的初级版本开始的新兴威胁不同,Crocodilus 以成熟、复杂的银行木马形式进入网络犯罪领域。
目录
最大化伤害的高级技术
Crocodilus 采用了如下现代技术:
- 远程控制功能
- 黑屏覆盖以隐藏其存在
- 通过可访问性日志进行高级数据收集
与其他银行木马一样,该病毒旨在控制设备 (DTO),并允许网络犯罪分子进行欺诈交易。对其源代码和调试消息的深入分析表明,该恶意软件的作者是土耳其语使用者。
伪装成 Google Chrome 以逃避检测
Crocodilus 旨在通过伪装成 Google Chrome(软件包名称:“quizzical.washbowl.calamity”)来绕过 Android 13+ 安全限制。安装后,该假应用程序会请求无障碍服务权限,从而授予其对设备的完全控制权。
激活后,它会连接到远程命令和控制 (C2) 服务器以:
- 接收进一步指示
- 获取目标金融应用程序列表
- 部署 HTML 覆盖以窃取用户凭证
加密货币钱包成为焦点
Crocodilus 的攻击目标不仅限于银行应用程序,它还针对加密货币钱包。它不使用虚假的登录页面,而是使用欺诈性的备份警报来欺骗受害者,警告他们在 12 小时内保存种子短语,否则可能会失去资产。
这种社会工程策略会操纵受害者导航到他们的种子短语,然后通过滥用无障碍服务来获取这些短语。有了这些信息,攻击者就可以控制钱包并盗取其中的资金。
持续监控和凭证盗窃
Crocodilus 旨在在后台持续运行,密切监视应用程序启动并触发覆盖以拦截凭据。它可以:
- 监控所有无障碍事件
- 捕获屏幕上显示的所有元素
- 截取 Google Authenticator 的屏幕截图以绕过双因素身份验证
通过这样做,Crocodilus 确保其操作员不会注意到任何登录活动。
隐身模式:隐藏有害活动
为了不被发现,Crocodilus 采用了各种隐身战术,包括:
- 显示黑屏覆盖以隐藏未经授权的活动
- 静音以防止受害者听到可疑警报
这些措施使得受害者更难意识到他们的设备已被入侵。
强大的破坏性功能库
Crocodilus 具有一系列威胁功能,可完全控制受感染的设备。它可以启动特定应用程序、从设备中移除自身以避免被检测到,并发送推送通知来操纵用户行为。该恶意软件还能够向选定或所有联系人发送短信、检索联系人列表并获取已安装应用程序的列表,让攻击者全面了解受害者的数字足迹。
此外,Crocodilus 还可以读取短信、请求设备管理员权限以获得更深层次的控制权,并激活黑色覆盖模式以隐藏其不安全活动。它会定期更新其命令和控制 (C2) 服务器设置,确保它能够适应并响应操作员的新指令。为了进一步隐身操作,它可以启用或禁用声音、切换键盘记录以捕获用户输入,甚至可以将自己设为默认短信管理器,从而能够在不被发现的情况下拦截和操纵通信。
Crocodilus:新的移动银行威胁
Crocodilus 的出现标志着移动银行恶意软件复杂程度的不安全升级。与许多新发现的威胁不同,Crocodilus 从一开始就很成熟,利用先进的设备接管技术、远程控制功能和黑屏攻击来危害用户。
该恶意软件凭借其隐秘的执行和强大的功能,为 Android 银行威胁树立了新的先例,证明网络犯罪分子正在不断改进其策略以保持领先于安全措施。
