鳄鱼病毒(Crocodilus)感染安卓设备的运作机制
Crocodilus的主要感染方式尚不清楚,但很可能与其他恶意软件类似。
与典型的加密钱包恶意软件不同,Crocodilus与您的设备集成得有多深。 它不仅仅是通过社交工程欺骗你。它完全控制了你的Android。
虽然感染的主要原因尚不清楚,但此类恶意软件通常以几种方式出现:
虚假应用程序:Crocodilus可能会伪装成Google Play商店或第三方应用程序托管网站上的合法加密货币相关应用程序。 Threat Fabric表示,该恶意软件可以绕过谷歌Play商店的安全扫描程序。
短信促销:短信诈骗越来越普遍。 如果您收到一条带有可疑链接的随机短信,请不要点击它。它可能会将您重定向到一个下载恶意软件的页面。
恶意广告:在成人或软件盗版网站上,受感染的广告泛滥成灾。 每个广告都经过精心布局,让你一不小心就会点击,而只需轻轻一点,恶意软件就会下载。
网络钓鱼尝试:一些恶意软件活动会发送冒充加密货币交易所的恶意网络钓鱼电子邮件。 仔细检查发件人的电子邮件地址,以验证其合法性。
一旦Crocodilus感染了您的设备,恶意软件就会请求可访问性服务权限。 接受这些权限会将Crocodilus连接到其命令和控制(C2)服务器,攻击者可以在该服务器上显示屏幕叠加、跟踪击键或激活远程访问以控制您的设备。
然而,该恶意软件的主要识别特征是它的钱包备份技巧。 如果你使用密码或PIN登录你的加密货币钱包应用程序,Crocodilus会显示一个假的覆盖层。上面写着:
“在12小时内将您的钱包密钥备份到设置中。否则,应用程序将被重置,您可能会失去对钱包的访问权限。”
如果你点击“继续”,Crocodilus会提示你输入种子短语。 恶意软件通过键盘记录器追踪你的输入。 然后,攻击者就拥有了窃取您资产所需的一切。
Crocodilus的假冒覆盖层模仿了合法的钱包软件。 它的“继续”按钮很容易按下,但要知道,一个可识别的钱包应用程序永远不会以这种方式敦促你备份钱包。 如果您看到此叠加,请卸载该应用程序并考虑在设备上进行全新安装。
不幸的是,这只是个开始。 Crocodilus通过其屏幕记录器绕过双因素身份验证(2FA)过程,从Google Authenticator等应用程序中捕获验证码,并将其发送到C2。
最糟糕的是,Crocodilus会显示黑色的屏幕,并使设备的音频静音,以掩盖其活动。 它让你感觉你手机被锁定了,同时在后台悄悄地窃取你的资产。
该恶意软件总共可以执行45条命令,包括:
短信接管:Crocodilus可以检索您的短信,向您的联系人列表发送短信,甚至可以使其成为您的默认短信应用程序。
远程访问:恶意软件完全控制您的设备,允许其打开应用程序、激活摄像头或启动屏幕录制器。
修改文本:当Crocodilus欺骗你输入钱包信息时,它可以更改或生成文本,以帮助C2使用它在你的设备上找到的数据访问你的私人应用程序。
您知道吗? 对加密钱包的隐秘恶意软件威胁很常见。零点击攻击——无需你任何输入即可感染你的设备的恶意软件——是2025年另一种形式的加密恶意软件。