近期,科技安全领域传来警报,知名科技博客bleepingcomputer披露了一项令人担忧的安全威胁:名为Crocodilus的安卓恶意软件正在全球范围内迅速蔓延。这款恶意软件通过在其感染的安卓设备联系人列表中偷偷添加虚假联系人,巧妙利用了受害者的信任心理,使得威胁者在来电时能够更容易地获得受害者的信任。
据Threat Fabric研究团队深入分析,Crocodilus的历史可追溯至2025年3月,最初仅在土耳其境内小规模流传,主要功能是进行数据窃取和远程控制。然而,随着时间的推移,其危害范围逐渐扩大。
在早期版本中,Crocodilus通过制造虚假错误信息,运用社交工程手段诱骗用户在限定时间内“备份”加密货币钱包密钥,否则将面临失去访问权限的风险。这一策略无疑给不少数字货币用户带来了恐慌。
最新的报告显示,Crocodilus的攻击范围已经跨越国界,影响范围覆盖了多个国家和地区。其技术层面也实现了显著升级,增强了自身的隐蔽性和逃避检测的能力。恶意软件加载器组件采用了先进的代码打包技术,核心载荷增加了XOR加密层,同时,代码混淆和纠缠技术的应用使得逆向工程分析变得更加艰难。
更令人不安的是,Crocodilus现在能够在本地设备上解析窃取的数据,再将这些敏感信息传输给威胁者,从而提高了数据收集的质量和利用效率。这一改进无疑加剧了其潜在的危害程度。
Crocodilus新增的一项功能尤其引人注目:它能够通过特定的命令(例如“TRU9MMRHBCRO”)在受害者的设备上自动生成虚假的联系人信息。当威胁者拨打受害者的电话时,设备上显示的是联系人列表中的虚假名称,而非真实的来电号码。这一手法使得攻击者能够轻易冒充受害者的亲友或银行工作人员,极大地增强了来电的可信度,降低了受害者的警惕性。
据报告指出,这一操作是通过安卓系统的ContentProvider API实现的,且生成的虚假联系人信息不会同步至用户的Google账户,仅存在于本地设备上,这无疑增加了其隐蔽性和欺骗性。
