随着移动设备的广泛普及,基于Android系统的安全威胁也在不断升级。近期,一个名为Crocodilus的Android木马病毒逐渐被安全研究人员注意到,其攻击范围涵盖欧洲、土耳其以及南美等八个国家,目标直指银行账户和加密货币钱包,威胁用户的财产安全。Crocodilus首次公开发现于2025年3月,伪装成合法应用程序如谷歌浏览器潜伏于受害者的安卓设备中,通过覆盖式攻击(overlay attacks)伺机窃取受害者的金融软件登录凭证。该恶意软件的设计者利用了Android辅助功能权限,截获用户输入的种子短语(seed phrase),进而获取加密钱包私钥,实现资产的非法转移和窃取。根据荷兰网络安全公司ThreatFabric最新报告,Crocodilus的技术不断进化,采用了显著的代码混淆技术,极大增加了逆向分析难度。其能够自动创建联系人信息的特性尤为引人关注,攻击者可通过指定命令向受害者通讯录中添加伪造联系人,例如标注为“银行客服”,用于规避安卓系统的新安全机制。
谷歌最新的安全防护能够在用户开启屏幕共享时,针对未知联系人发起的金融类应用操作发出警告,Crocodilus则利用新增联系人功能欺骗用户,避免触发安全提示,使攻击更加隐蔽和有效。Crocodilus的传播途径多样,除了经典的假冒应用安装包外,其还利用社交平台上的虚假广告诱导下载。例如在波兰,攻击者通过模仿知名银行和电商平台的Facebook广告,宣传所谓的积分兑换福利,诱骗用户访问并下载安装木马程序。在西班牙和土耳其,则出现了冒充浏览器更新或线上博彩活动的假应用,这些藏匿于恶意网站的下载链接成为木马传播的重要载体。除欧洲和土耳其外,阿根廷、巴西、印度、印度尼西亚与美国也成为目标国家,显示Crocodilus的全球化趋势。此外,木马能够调用自动采集器,精准解析并提取特定加密钱包的种子短语和私钥,技术层面已具备高度自动化的窃取能力,对加密资产构成极大威胁。
安全专家警告,Crocodilus正在不断完善攻击功能,扩大地理攻击影响面,趋向成为全球范围内的隐蔽威胁。普通用户应提高安全意识,谨慎下载来源不明的应用,特别是不要轻信社交网络上的福利、更新提示或博彩诱惑。定期更新手机操作系统和安全软件,开启Google Play Protect等官方防护工具,也能有效防止木马程序侵入。谷歌方面回应称,目前Google Play应用商店尚未发现含有Crocodilus木马的应用,所有搭载Google Play服务的安卓设备默认启用Play Protect,可自动拦截和警告已知恶意软件,保障用户安全。然而,病毒编写者巧妙地绕过正规商店,选择第三方渠道分发木马,给安全防护带来了巨大的挑战。企业与安全机构需要加强对移动恶意软件的检测与响应能力,提升对恶意广告投放及钓鱼下载的监控力度,防止Crocodilus及类似威胁持续扩散。
用户资料泄露及资金流失事件频发,提醒网络安全形势依旧严峻。未来,针对Android平台的银行木马将更加隐蔽智能,功能更加多元化,安全生态体系亟需联合技术创新与用户教育,筑牢移动设备防护屏障。总体来看,Crocodilus木马的兴起警醒我们,移动金融安全不能掉以轻心,任何疏忽都可能导致巨额财产损失。增强风险预判和防范意识,采取多层防御措施,尽早发现并遏制恶意软件传播势头,是每一位安卓用户不可忽视的安全命题。
