专家警告新型精密银行木马Crocodilus来袭

网络安全公司ThreatFabric研究人员发现新型安卓木马"Crocodilus"（鳄鱼），该恶意程序通过无障碍服务功能窃取银行及加密货币凭证。

技术分析报告指出："Crocodilus并非简单克隆现有木马，而是从一开始就具备远程控制、黑屏覆盖攻击、无障碍日志数据采集等现代攻击技术的完整威胁体系。"该木马具有以下特征：

攻击技术：

• 采用覆盖攻击（overlay）、键盘记录（keylogging）和远程访问三合一技术

• 通过Dropper程序绕过Android 13+系统限制

• 连接C2服务器实时监控应用启动，实施凭证窃取

核心功能模块：

【僵尸网络功能】

- 通讯控制：实现呼叫转移、短信群发/拦截、默认短信管理器劫持

- 覆盖攻击：扫描目标应用实施凭证窃取

- 持久化驻留：获取设备管理员权限并锁定屏幕防卸载

- 社会工程：推送虚假通知诱导用户

【远程控制功能】

- 屏幕操控：执行滑动、点击及系统按键（返回/主页/菜单）操作

- 隐蔽模式：启用黑屏覆盖+静音实现隐形远程控制

- 数据窃取：通过无障碍日志捕获谷歌验证器OTP码

- 摄像头劫持：开启前置摄像头进行监控

攻击流程：

1. 伪造安全警告诱导受害者输入助记词

2. 通过无障碍服务记录输入内容

3. 窃取并清空加密货币钱包

威胁关联：

研究人员发现其源代码与土耳其语系威胁组织"sybra"存在关联，该组织以改造Ermac木马著称。目前主要针对西班牙和土耳其银行用户，预计将向全球扩张。

ThreatFabric警告："Crocodilus的出现标志着移动银行木马进入新阶段。其设备接管能力、远程控制特性和初代版本就具备的黑屏攻击功能，在新型威胁中极为罕见。该木马针对西班牙/土耳其银行及主流加密货币钱包的设计，明显以高价值资产为攻击目标。"

原文始发于微信公众号（黑猫安全）：专家警告新型精密银行木马Crocodilus来袭