根據資安公司 Threat Fabric 的最新報告,一款名為「Crocodilus」的新型手機惡意程式被發現對 Android 用戶造成重大威脅,該惡意程式透過偽造介面覆蓋以竊取敏感的加密貨幣助記詞,能夠掌控用戶裝置並完全清空其加密貨幣錢包資產。
Threat Fabric 的分析師在 3 月 28 日詳細說明「Crocodilus」如何使用偽裝畫面誘導受害者在限定時限前備份錢包金鑰。若用戶輸入密碼,畫面則顯示警告:「請於 12 小時內於設定中備份錢包金鑰,否則應用程式將重設,您可能會失去錢包存取權。」這種社交工程手法引導用戶輸入助記詞後,惡意程式便可透過輔助功能記錄關鍵資訊。
一旦成功取得助記詞,攻擊者即可完全接管錢包。雖然「Crocodilus」是新型威脅,但其已展現出現今銀行惡意程式常見的進階功能,包括覆蓋畫面攻擊、螢幕截圖蒐集資料,以及遠端控制裝置等。
Threat Fabric 指出,初步感染多發生於用戶誤將該惡意程式隨其他軟體一併下載時,這樣一來能有效繞過 Android 13 的資安防護。安裝後,「Crocodilus」會要求用戶啟用輔助使用服務,使駭客得以獲取權限。一旦獲得存取權,惡意程式即連線至遠端控制伺服器以接收攻擊指令,包括目標應用程式與相對應的偽裝畫面。
「Crocodilus」會持續在背景監控應用程式活動,並自動部署偽裝畫面攔截用戶認證資料。當用戶啟動被瞄準的銀行或加密貨幣應用程式時,假畫面可遮蔽實際操作,讓駭客默默掌控並在過程中將音效靜音。
攻擊者取得個資及認證資訊後,可遠端發動詐騙交易且不易被察覺。Threat Fabric 的移動威脅情報團隊發現,「Crocodilus」目前主要針對土耳其與西班牙用戶,預期未來將進一步擴散。調查顯示,從原始碼註解推斷開發者可能為土耳其語使用者,並可能與名為 Sybra 的駭客或其他正測試新軟體的黑客有關。
「Crocodilus」這類行動銀行木馬的出現,凸顯惡意軟體在複雜度與風險層級上的大幅躍升。其裝置控制、遠端操作與黑色偽裝畫面技術,展現出新發現惡意程式少見的成熟度。Threat Fabric 最後如是分析。