近年来,随着移动支付和加密货币的快速普及,相关网络安全威胁也日益猖獗。2025年3月首次发现的Crocodilus银行木马,最初仅在土耳其活动,冒充在线赌场或银行应用诱骗用户,窃取登录凭证。近期,Crocodilus已实现全球扩散,不仅进入欧洲和南美市场,还带来了令人警惕的新功能,专门针对加密货币钱包和银行客户展开大规模攻击。Crocdilus的扩展路径显示其影响力正在显著增强,不同国家的用户都成为其潜在目标。根据移动安全专家ThreatFabric的报告,波兰、西班牙、阿根廷、巴西、印度尼西亚、印度及美国均出现了该病毒的活动踪迹。该病毒最新的传播方式包括通过Facebook广告推送假冒的“忠诚度应用”,诱导用户访问恶意网站,安装木马程序。
其采用的落地器策略成功绕过了Android 13及以上系统的安全限制,说明其技术能力强大且适应性强。一次针对波兰用户的广告投放仅在一到两个小时内便吸引了成千上万的访问量,尤其锁定了35岁以上群体,这表明攻击者精准分析目标用户画像,以提高感染效率。感染设备后,Crocodilus通过叠加假登录页面,覆盖真实银行或者加密货币应用界面,诱导用户输入账号密码。这种钓鱼式攻击借助伪装手段在西班牙更进一步变得隐蔽,假称为浏览器更新,几乎覆盖了当地所有主流银行的应用,极大提高了感染率与盗取风险。除了地域不断扩大,Crocdilus的功能也有显著升级。其中之一的核心新增功能是“联系人列表篡改”,病毒能够修改手机联系人,添加标有“银行支持”的电话号码,为攻击者后续的社会工程学攻击铺路。
电话诈骗和钓鱼结合,令受害者难以防范。更为严重的是,Crocodilus现在具备了自动化提取加密货币钱包助记词(seed phrases)和私钥的能力。助记词是数字货币账户的核心访问凭证,若被窃取,攻击者能迅速完成账户劫持和资产转移。新版本不仅提高提取精准度,还能对数据预处理,加快信息传递效率,使财产被盗风险大幅提升。为了躲避安全分析和逆向工程,开发者对代码进行了深度混淆处理,新增代码压缩、异或加密以及复杂逻辑结构,使得安全专家和反病毒软件难以准确识别和拆解病毒行为。ThreatFabric的移动威胁情报团队同时发现,Crocodilus针对加密货币挖矿应用和部分欧洲数字银行也展开小规模攻击,显示其目标范围广泛且不断扩展。
与前一版本类似,新版木马特别注重加密钱包的攻击,内置解析器可针对多种钱包格式提取密钥信息,复杂威胁大大增加了用户安全防护难度。除了Crocodilus外,整个加密货币生态环境也面临诸多类似威胁。AMLBot发布的4月报告指出,加密货币“清空者”型恶意软件正在向软件即服务模式发展,使得攻击工具租赁门槛降低,一些黑客团伙能够用低至100至300美元的价格获得功能强大的病毒,极大普及了恶意软件的使用。近期更曝出著名中国打印机厂商Procolored曾在其官方驱动软件中携带比特币窃取木马,极具隐蔽性与破坏力。这些事件警示我们,技术创新与便利性的背后潜藏着极高的安全风险,广大用户需要提高警惕,主动防范潜在威胁。针对Crocodilus及类似银行木马,用户应尽量避免通过非官方渠道下载应用,尤其对广告推广的第三方 App 保持谨慎。
定期更新手机系统和应用,开启多因素认证机制,有助于提升账户安全。对接收到的短信或电话要求提供私人信息、助记词时务必核实来源,不轻信陌生号码或不明链接。此外,金融机构应加强风控措施,结合行为分析与设备指纹技术,快速识别异常登录行为,及时阻断攻击。网络安全厂商也需持续投入研发,针对新兴的加密货币攻击技术升级检测手段,加强对木马病毒的追踪分析和应急响应。Crocodilus的全球扩散提醒我们,恶意软件正在向多样化、模块化方向发展,注重交叉攻击和隐蔽传播。当前形势要求个人、企业与监管部门形成合力,共建健康安全的数字金融环境。
只有提升全产业链的防护能力,才能有效抵御此类高级持续威胁,保护用户的隐私和资产安全。未来,随着智能手机及区块链技术的深入融合,攻击技术将更加复杂多变。保持安全意识,不断更新安全知识,依靠先进技术辅助,仍然是防范这类银行木马和加密货币盗窃的关键法宝。
