新型 Android 木马 Crocodilus 利用辅助功能窃取银行和加密货币账户凭证，主要目标是西班牙和土耳其的用户。

ThreatFabric 的研究人员发现了一种名为 Crocodilus 的新型 Android 木马，它利用 Android 系统的辅助功能来窃取银行和加密货币账户凭证。

ThreatFabric 发布的报告中写道：“Crocodilus 木马的出现并非是一个简单的仿制品，从一开始它就是一个成熟的威胁，配备了诸如远程控制、黑屏覆盖以及通过辅助功能日志记录进行高级数据采集等现代技术手段。本报告将探究 Crocodilus 木马的特点、它与已知威胁行为者的关联，以及它是如何引诱受害者帮助恶意软件窃取他们自己的账户凭证的。”

这种新的威胁模仿现代银行恶意软件，采用覆盖式攻击、键盘记录和远程访问等手段。专家指出，它通过一个下载器绕过了Android 13 + 版本的限制。

Crocodilus 木马会连接到一个命令与控制（C2）服务器，它会监控应用程序的启动情况，并利用覆盖式攻击来窃取账户凭证。ThreatFabric 表示，该恶意软件的主要目标是西班牙和土耳其的用户，预计未来还会向全球范围扩散。此外，该恶意软件通过捕获所有的辅助功能事件和屏幕元素，支持高级的键盘记录功能。

这段恶意代码支持各种各样的 bot 和 RAT 命令，使得网络犯罪分子能够完全控制被感染的设备。其主要功能包括：

bot 功能：

1.通话和短信控制：可实现呼叫转移，向指定号码或所有联系人发送短信，检索短信信息，并将自身设置为默认的短信管理器。

2.覆盖式攻击：检查针对已安装应用程序的可用覆盖层，通常用于窃取账户凭证。

3.设备管理与持久性：请求设备管理员权限，锁定屏幕，并防止自身被删除。

4.通知与社会工程学手段：发布虚假的推送通知来欺骗用户。

5.远程命令与设置更新：更新 bot 和命令与控制（C2）服务器的设置，开启或关闭声音，并处理任务执行。

RAT 功能：

1.屏幕交互与控制：执行滑动、点击操作以及按下按钮（返回、主页、菜单）。

2.隐藏的远程控制模式：可以在静音手机并显示黑屏覆盖层以隐藏活动的同时，开启 “隐藏” 的远程访问。

3.数据窃取：捕获 Google Authenticator 的屏幕内容以窃取 OTP。

4.摄像头访问：启动前置摄像头视频流，可能用于身份盗窃或监视。

Crocodilus 木马可能与名为 “sybra” 的威胁行为者有关，该行为者以使用 Ermac 恶意软件的衍生版本及其他恶意软件而闻名。对其源代码的分析表明，该恶意软件的开发者可能说土耳其语。

Crocodilus 木马会通过显示虚假警告信息诱骗受害者泄露他们的助记词，然后通过辅助功能记录文本信息，以窃取并清空加密货币钱包。

ThreatFabric 总结道：“Crocodilus 移动银行木马的出现标志着现代恶意软件在复杂性和威胁程度上有了显著提升。凭借其先进的设备接管能力、远程控制功能，以及从最初版本就采用的黑屏覆盖式攻击手段，Crocodilus 木马展现出了在新发现的威胁中不常见的成熟度。”“已经观察到 Crocodilus 木马的目标是西班牙和土耳其的银行以及流行的加密货币钱包，很明显，它是为了攻击高价值资产而设计的。”