近年来,恶意软件的演变速度令人瞩目,而专门针对金融领域的银行木马威胁更是日益严峻。2025年初,Crocodilus恶意软件首次被发现,其针对性强、隐蔽性高的攻击手段引起多国安全机构关注。随着时间推移,Crocodilus逐步摆脱地域限制,扩展到欧洲、南美、印尼、印度,以及美国等多个关键市场,造成了极大的安全威胁。作为一款Android银行木马,Crocodilus最初采用伪装成在线赌场或银行应用程序的方式诱骗用户下载,从而窃取登录凭证。近期它的最新变种不仅在目标地区扩展,还极大提升了攻击覆盖范围和功能多样性,尤其是在加密货币钱包的攻击上表现尤为突出。Crocodilus利用虚假登录界面覆盖真实银行和加密应用,诱骗用户输入敏感信息,成功实现账户劫持。
针对欧洲市场的西班牙,恶意软件假扮浏览器更新,从而侵入用户设备,覆盖几乎所有主流银行应用。该手法巧妙利用了用户对系统更新的信任心理,增加了攻击的成功率。相比旧版本,最新的Crocodilus恶意软件新增了修改联系人的能力,能够在受感染设备的通讯录中插入标注为“银行支持”的电话号码。这一技术提升让攻击者可以借助社交工程手段直接联系受害者,实施更深层次的诈骗,进一步扩大了威胁面。不仅如此,Crocodilus在窃取加密货币相关数据方面也有显著突破。其自动化的种子短语收集功能,能快速准确提取钱包的助记词和私钥,为攻击者提供快速抢占用户资产的途径。
该种子短语解析器的加入使得对特定钱包的攻击更为精准,极大地提升了恶意软件的实用价值。为了躲避反病毒和分析工具的检测,最新变异版本通过深度代码混淆、多重XOR加密以及复杂逻辑算法等方式,极大地增加了逆向工程难度。这种防御机制不仅增加了安全研究人员的分析难度,也让防护软件难以高效识别和拦截。Crocodilus还积极利用社交媒体平台进行传播。如波兰目标用户遭遇的Facebook广告推广,通过假冒的忠诚度应用吸引用户点击,进而跳转至恶意网站植入木马。这类恶意广告在短短数小时即覆盖成千上万的用户,主要针对年龄35岁以上群体,显示出攻击者针对不同用户画像进行精准营销的策略。
同时,安全机构发现小规模的针对加密货币挖矿应用和欧洲数字银行的攻击活动不断增加,反映出黑客正试图利用多样攻击面获取财务收益。Crocodilus的最新动态也反映了金融领域网络威胁正朝着“软件即服务”(SaaS)模式发展,恶意软件的租用和售卖降低了入门门槛,使得更多攻击者能以较低成本展开活动。例如,市面上已有恶意软件攻击程序的租赁价格低至数百美元,极大促进了黑产生态的繁荣。与此同时,一些看似正规产品也暗藏风险。2025年5月爆出某知名中国打印机厂商Procolored连带官方驱动程序分发比特币窃取恶意软件事件,充分揭示了供应链安全隐患。面对Crocodilus及类似威胁的全球蔓延,用户应加强安全意识,避免下载和使用不明来源的应用,尤其是伪装成浏览器更新、忠诚度程序或银行应用的软件。
手机操作系统的权限管理软件应及时更新,利用最新安全补丁防止恶意程序绕过限制。此外,谨慎核对通讯录中的新联系人,避免轻信标注为“银行支持”的陌生号码,以防陷入社工攻击陷阱。针对加密货币用户,切勿在线输入助记词或私钥,不在任何非官方设备和应用中储存敏感信息。启用多重认证机制、使用硬件钱包等都能显著降低资产被盗风险。企业和金融机构应加强对外发布渠道的监控,防范恶意广告投放及网络钓鱼攻击,同时提升内部安全防护体系应对新型木马威胁。Crocodilus作为新一代银行和加密货币攻击工具,其全球扩散对数字金融空间安全提出严峻挑战。
持续关注安全动态,采用多层次安全防护策略,方能有效应对这一持续演变的威胁。
