網絡安全公司 Threat Fabric 最近發表報告,披露了一款名為「Crocodilus」的新型手機惡意程式,針對 Android 用戶利用假疊加層騙取加密貨幣助記詞,讓黑客掌控裝置並極有可能耗盡其錢包資金,構成重大威脅。
Threat Fabric 分析師於 3 月 28 日詳細說明,Crocodilus 通過螢幕疊加層,催促用戶在指定期限內備份錢包密鑰。如用戶輸入密碼,該疊加層會嚴重警告:「12 小時內於設定中備份你的錢包密鑰,否則應用程式會被重設,你可能失去錢包存取權限。」這種社交工程誘導用戶至助記詞密鑰頁面,惡意程式藉其輔助功能日誌竊取重要資料。
一旦助記詞被獲得,攻擊者就能完全掌管錢包。雖然剛被發現,Crocodilus 已展現現代銀行惡意程式的先進功能,包括假疊加攻擊、透過螢幕截圖進行複雜資料蒐集,以及遠端裝置操控。
Threat Fabric 指出,受害用戶主要是在無意間下載與其他軟體綑綁而來的惡意程式,從而繞過 Android 13 的安全防護。
安裝後,Crocodilus 會提示用戶啟用無障礙服務,以協助黑客取得更多權限。隨即,程式會連接至遠端指令控制伺服器,獲取目標應用列表及對應的假疊加層資訊。
Crocodilus 持續運行,監控應用程式活動並部署疊加層以截取用戶認證資料。每當用戶打開目標的銀行或加密貨幣應用,假疊加層便會遮蓋真實畫面,黑客可於期間取得控制權,也會關閉聲音以防用戶察覺。
配合被盜的個人資料及憑證,攻擊者可遠端進行詐騙交易而不易被發現。
Threat Fabric 的移動安全情報團隊發現,Crocodilus 目前主要針對土耳其及西班牙用戶,預計將來會進一步擴散。調查顯示,開發者或講土耳其語,根據原始碼注釋,亦可能是名為 Sybra 的黑客團隊,或者有黑客實驗新型軟體。
Threat Fabric 總結指出,Crocodilus 這款手機銀行木馬,反映新世代惡意程式在複雜程度和風險等級上有重大突破。其裝置接管、遠端控制與罕見的黑色疊加攻擊能力,都展現出新威脅未有的成熟度。