安卓银行木马Crocodilus快速进化并蔓延全球

最新发现的安卓银行木马"Crocodilus"正迅速扩张攻击版图。该恶意软件从初期小规模测试已升级为针对欧洲和南美用户的全面攻击，通过社交媒体恶意广告传播，并具备窃取加密助记词、伪造联系人实施诈骗等高危功能。ThreatFabric研究人员指出，其隐蔽性因反检测技术升级而显著增强。

全球化攻击态势

• 欧洲战场：原以土耳其为主的攻击近期蔓延至波兰，黑客通过虚假银行/购物应用（如Facebook"奖励积分"广告）诱导下载，虽广告仅存活1-2小时，却能感染数千设备，甚至突破Android 13+防护机制

• 拉美渗透：针对西班牙用户的攻击伪装成浏览器更新，覆盖当地几乎所有主流银行；另监测到仿冒阿根廷、巴西、美国、印尼及印度应用的区域性攻击样本

技术升级亮点

1. 反侦察进化：采用代码打包、XOR加密等混淆技术

2. 社交工程增强：新增"TRU9MMRHBCRO"指令，可植入"银行客服"等伪造联系人，使诈骗电话伪装成可信呼叫，规避反欺诈系统检测

3. 加密货币定向收割：

• 新增助记词与私钥解析器

• 通过无障碍日志和正则表达式屏幕解析技术，直接劫持目标钱包应用

ThreatFabric报告强调："其攻击已突破地域限制，正演变为真正的全球性威胁。"研究人员警告，这背后可能存在更具组织化和适应性的攻击团队，建议机构与用户采取主动防御措施应对这一持续进化的高危恶意软件。报告同时公布了相关入侵指标（IoCs）以供防护参考。

原文始发于微信公众号（黑猫安全）：安卓银行木马Crocodilus快速进化并蔓延全球