Crocodilus 銀行木馬
網路安全專家發現了一種名為 Crocodilus 的新型 Android 銀行惡意軟體,主要針對西班牙和土耳其的用戶。與許多以現有惡意軟體的初級版本開始的新興威脅不同,Crocodilus 以完全開發且複雜的銀行木馬的形式進入網路犯罪領域。
目錄
最大化傷害的高階技巧
Crocodilus 採用以下現代技術:
- 遠端控制功能
- 黑屏覆蓋以隱藏其存在
- 透過可訪問性日誌進行進階資料收集
與其他銀行木馬一樣,它的目的是接管設備(DTO)並允許網路犯罪分子進行詐欺交易。對其原始程式碼和調試訊息的深入分析表明,該惡意軟體作者是土耳其語人士。
偽裝成 Google Chrome 以逃避偵測
Crocodilus 旨在透過偽裝成 Google Chrome(軟體包名稱:「quizzical.washbowl.calamity」)來繞過 Android 13+ 的安全限制。一旦安裝,該虛假應用程式就會請求輔助功能服務權限,從而授予其對設備的完全控制權。
啟動後,它會連接到遠端命令和控制 (C2) 伺服器以:
- 接收進一步指示
- 取得目標金融應用程式列表
- 部署 HTML 覆蓋以竊取使用者憑證
加密貨幣錢包成為焦點
Crocodilus 的攻擊目標不僅限於銀行應用程序,它還將目標瞄準了加密貨幣錢包。它不使用虛假的登入頁面,而是使用詐騙備份警報欺騙受害者,警告他們在 12 小時內保存種子短語,否則可能會失去資產。
這種社會工程策略操縱受害者導航到他們的種子短語,然後透過濫用輔助功能服務來獲取這些短語。利用這些信息,攻擊者可以控制錢包並耗盡其中的資金。
持續監控和憑證盜竊
Crocodilus 被設計為在背景持續運行,密切監視應用程式的啟動並觸發覆蓋以攔截憑證。它可以:
- 監控所有無障礙事件
- 捕獲螢幕上顯示的所有元素
- 截取 Google Authenticator 的螢幕截圖以繞過雙重認證
透過這樣做,Crocodilus 確保其操作員不會注意到任何登入活動。
隱身模式:隱藏有害活動
為了不被發現,Crocodilus 採用了各種隱身戰術,包括:
- 顯示黑屏覆蓋以隱藏未經授權的活動
- 靜音以防止受害者聽到可疑警報
這些措施使得受害者更難意識到他們的設備已被入侵。
強大的破壞性功能庫
Crocodilus 具有一系列威脅功能,可完全控制受感染的裝置。它可以啟動特定的應用程序,從設備中移除自身以避免被檢測到,並發送推播通知來操縱用戶行為。該惡意軟體還能夠向選定或所有聯絡人發送簡訊、檢索聯絡人列表以及獲取已安裝應用程式的列表,讓攻擊者全面了解受害者的數位足跡。
此外,Crocodilus 還可以閱讀簡訊、請求裝置管理員權限以獲得更深層的控制權,並啟動黑色覆蓋模式來隱藏其不安全的活動。它定期更新其命令和控制 (C2) 伺服器設置,確保它能夠適應並響應來自其操作員的新指令。為了進一步進行隱身操作,它可以啟用或停用聲音、切換鍵盤記錄以捕獲用戶輸入,甚至可以將自己設為預設的簡訊管理器,從而允許其在不被發現的情況下攔截和操縱通訊。
Crocodilus:新的行動銀行威脅
Crocodilus的出現標誌著行動銀行惡意軟體複雜程度的不安全升級。與許多新發現的威脅不同,Crocodilus 從一開始就很成熟,利用先進的設備接管技術、遠端控制功能和黑屏攻擊來危害用戶。
該惡意軟體憑藉其隱密的執行和強大的功能,為 Android 銀行威脅樹立了新的先例,證明網路犯罪分子正在不斷改進其策略以保持領先於安全措施。
