網絡安全公司Threat Fabric最近發表報告,揭露一款名為「Crocodilus」的新型流動惡意軟件,透過偽冒屏幕覆蓋方式,針對Android用戶詐騙敏感加密貨幣助記詞,對資產風險構成重大威脅。該惡意軟件可奪取用戶設備控制權,甚至把錢包資產全數盜走。
Threat Fabric分析師在三月二十八日報告中詳細表示,Crocodilus會以偽冒錢包備份提示的屏幕覆蓋,催促用戶在指定時限內備份錢包密鑰。當用戶輸入密碼後,該提示會發出警告:「請於12小時內於設定中備份你的錢包密鑰,否則應用程式將被重設,可能導致你失去對錢包的存取權。」這種社交工程手法引導用戶至助記詞錢包密鑰位置,讓惡意軟件透過輔助功能記錄下這些重要資料。
一旦攻擊者取得助記詞,即可完全控制該錢包。儘管Crocodilus屬於新發現惡意軟件,卻具備現代銀行木馬的先進功能,包括覆蓋攻擊、屏幕截圖收集資料,以及遠端操控設備等。
Threat Fabric指出,初步感染多由用戶誤信其他軟件而將惡意軟件下載安裝,成功繞過Android 13的安全防護。
軟件一經安裝即要求用戶開啟輔助服務,方便黑客日後操控。一旦取得控制,惡意軟件會連接指揮伺服器,接收目標應用程式清單及相應覆蓋指令。
Crocodilus會持續監察應用程式活動,當目標銀行或加密貨幣程式開啟時,即以假覆蓋界面遮蔽真實操作,讓黑客趁機接管並靜音處理。取得用戶資料和帳號憑證後,攻擊者即可遠端進行欺詐交易而不被察覺。
Threat Fabric的移動威脅情報團隊發現,目前該惡意軟件鎖定土耳其和西班牙用戶,預期將繼續擴散。分析發現,開發者可能講土耳其語(程式碼註釋所見),亦有指控是Sybra等黑客測試新型惡意軟件。
Crocodilus流動銀行木馬的出現,顯示當代惡意軟件在複雜度與危險層面已大幅提升。其設備操控、遠端指令與黑色覆蓋攻擊等功能,展現出新型威脅罕見的成熟度,Threat Fabric總結道。