近几年,移动支付和数字金融服务的普及极大地方便了人们的生活,但也使得智能手机成为黑客攻击的重点目标。2025年3月,安全研究机构Threat Fabric揭露了一款名为“Crocodilus”的Android银行木马,这款恶意软件通过劫持Android设备的辅助功能实现远程控制,对用户的金融资产构成了严重威胁。随着时间推移,Crocodilus不仅攻击范围迅速扩展至全球多地,还不断演进,增加了更为隐蔽和强大的技术功能,使其成为当前最危险的Android木马之一。 Crocodilus最初出现在土耳其,被认为是在当地首次发现的,而后迅速扩散到南美、美国、亚洲部分地区以及欧洲多个国家。它主要通过伪装成银行、加密货币和电商应用进行传播,目标锁定金融服务用户。在最新的传播方式中,研究人员发现Crocodilus利用Facebook广告精准投放恶意软件,特别针对波兰用户,这种借助社交媒体渠道的传播模式大大增加了其感染率。
这款木马的核心攻击手段在于对Android系统辅助功能的劫持。辅助功能是为帮助残障人士更方便地操作手机设计的系统权限,可以识别屏幕上的所有元素并响应用户操作。Crocodilus通过专门设计的安装程序绕过了Android 13及以上版本的“受限设置”(Restricted Settings)安全特性。通常,安卓系统会阻止非官方应用控制辅助功能设置,但Crocodilus巧妙避开这一保护,使其能够激活辅助服务并持续运行。 获得辅助权限后,Crocodilus便能够监听所有应用的启动情况,并针对银行与加密货币应用弹出覆盖界面诱导用户输入登录信息,其类似于钓鱼页面的覆盖层设计极具欺骗性,用户很难察觉。录取的账号密码信息会即时传输至攻击者控制的服务器。
除此之外,木马还能仿真用户操作,如滑动、点击和文本输入,更进一步完成远程控制,直接在设备上执行欺诈交易。 Crocodilus的恶意行为不仅限于截获账户信息,它还能监控屏幕上的所有文本变化,相当于一个高级的键盘记录工具。研究人员指出,其对辅助功能的滥用允许木马捕获设备屏幕上的任何细节,并监听用户输入的每一个字符。这一点对于加密钱包中的私钥及种子词的窃取尤为致命,因为这些信息一旦泄露,数字资产将面临不可逆的损失。 另外,Crocodilus还具备截屏功能,特别针对谷歌身份验证器中的一次性密码(OTP)进行捕获。通过将设备屏幕变黑、静音同时执行隐藏操作,木马能够在不被用户察觉的情况下完成数据采集,确保攻击活动的隐蔽性。
最新版本的Crocodilus通过不断优化代码混淆及加密技术显著提升了被检测和分析的难度。它采用了更加复杂的XOR加密方式和代码压缩手段,令安全研究人员难以逆向解析其恶意逻辑。此外,木马新增了创造伪造联系人到受害人通讯录的功能,其目的是为未来的语音钓鱼(vishing)攻击做铺垫,使攻击电话显示为可信联系人,提高欺骗成功率。 在加密资产窃取方面,Crocodilus进一步强化了对钱包数据的提取能力。它通过专门开发的解析器,预处理并提取特定加密钱包的种子词和私钥信息。恶意覆盖层会巧妙诱导用户打开钱包备份页面,声称若不备份则有失去访问权限的风险,从而促使用户主动泄露安全关键数据。
面对如此复杂且隐蔽的攻击,普通用户应提高警惕,避免点击未知来源的链接和广告,不随意安装来历不明的应用程序。确保手机操作系统和安全软件处于最新状态,及时更新以防范漏洞攻击。合理限制应用获取辅助功能权限,只授予必要且可信任的软件。金融相关操作时,优先使用官方渠道和应用,避免通过第三方推广链接进行下载和登录。 安全专家建议,企业和安全服务机构加强对手机端威胁的监测,借助人工智能和行为分析技术识别类似Crocodilus的威胁行为。并通过多因素认证、交易风控及异地登录报警等手段,降低账户被远程操控的风险。
用户教育同样重要,在数字金融时代,提升安全意识和风险识别能力是防范木马攻击的第一道屏障。 Crocodilus恶意软件的出现再次提醒我们,随着技术发展,网络攻击手法趋于隐秘且多样化,传统防护措施往往难以全面覆盖。只有不断完善系统安全机制,加强漏洞修补和权限管理,配合用户的良好习惯,才能有效遏制此类高级持续性威胁。未来,安全领域需要多方联动,从技术、法律、教育多维度构筑坚实防线,保障个人及企业的数字资产安全。 综上所述,Crocodilus木马通过创新性的劫持安卓辅助功能,完成对设备的几乎完全控制和敏感信息的窃取。它融合了社会工程与尖端技术,利用社交媒体进行传播,针对全球目标,特别强调金融与加密货币领域的攻击,这不仅是移动安全领域的重大挑战,也是整个数字金融生态亟需关注的安全警钟。
保持警觉,提升防御,才能应对日益复杂的网络威胁环境。
