网络安全公司ThreatFabric研究人员发现新型安卓木马"Crocodilus"(鳄鱼),该恶意程序通过无障碍服务功能窃取银行及加密货币凭证。
技术分析报告指出:"Crocodilus并非简单克隆现有木马,而是从一开始就具备远程控制、黑屏覆盖攻击、无障碍日志数据采集等现代攻击技术的完整威胁体系。"该木马具有以下特征:
攻击技术:
• 采用覆盖攻击(overlay)、键盘记录(keylogging)和远程访问三合一技术
• 通过Dropper程序绕过Android 13+系统限制
• 连接C2服务器实时监控应用启动,实施凭证窃取
核心功能模块:
【僵尸网络功能】
- 通讯控制:实现呼叫转移、短信群发/拦截、默认短信管理器劫持
- 覆盖攻击:扫描目标应用实施凭证窃取
- 持久化驻留:获取设备管理员权限并锁定屏幕防卸载
- 社会工程:推送虚假通知诱导用户
【远程控制功能】
- 屏幕操控:执行滑动、点击及系统按键(返回/主页/菜单)操作
- 隐蔽模式:启用黑屏覆盖+静音实现隐形远程控制
- 数据窃取:通过无障碍日志捕获谷歌验证器OTP码
- 摄像头劫持:开启前置摄像头进行监控
攻击流程:
1. 伪造安全警告诱导受害者输入助记词
2. 通过无障碍服务记录输入内容
3. 窃取并清空加密货币钱包
威胁关联:
研究人员发现其源代码与土耳其语系威胁组织"sybra"存在关联,该组织以改造Ermac木马著称。目前主要针对西班牙和土耳其银行用户,预计将向全球扩张。
ThreatFabric警告:"Crocodilus的出现标志着移动银行木马进入新阶段。其设备接管能力、远程控制特性和初代版本就具备的黑屏攻击功能,在新型威胁中极为罕见。该木马针对西班牙/土耳其银行及主流加密货币钱包的设计,明显以高价值资产为攻击目标。"
原文始发于微信公众号(黑猫安全):专家警告新型精密银行木马Crocodilus来袭
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论