HackerNews 编译,转载请注明出处:
越来越多的恶意活动利用了一种名为Crocodilus的新发现安卓银行木马,针对欧洲和南美用户。
根据ThreatFabric发布的一份新报告,该恶意软件还采用了改进的混淆技术来阻碍分析和检测,并新增了在受害者联系人列表中创建新联系人的能力。
荷兰安全公司ThreatFabric表示:“近期活动显示,多个攻击活动在继续针对土耳其的同时,已将欧洲国家纳入目标范围,并正将攻击版图向全球扩展至南美洲。”
Crocodilus木马于2025年3月首次被公开披露,当时它通过伪装成谷歌Chrome等合法应用,主要针对西班牙和土耳其的安卓设备用户。该木马具备发起覆盖攻击的能力,攻击目标是从外部服务器获取的一系列金融应用列表,目的是窃取凭证。
它还会滥用辅助功能权限来捕获与加密货币钱包关联的助记词,这些助记词随后可被用于盗取钱包中存储的虚拟资产。
ThreatFabric的最新发现表明,该恶意软件的地理攻击范围正在扩大,并且其功能和特性也在持续开发增强,这表明其背后的运营者正在对其进行积极维护。
研究发现,针对波兰的部分攻击活动利用Facebook上的虚假广告作为传播媒介,这些广告模仿银行和电子商务平台,诱骗受害者下载应用以领取所谓的奖励积分。试图下载该应用的用户会被引导至一个恶意网站,该网站会投放Crocodilus的安装器(dropper)。
其他针对西班牙和土耳其用户的攻击波次则伪装成网络浏览器更新和在线赌场。阿根廷、巴西、印度、印度尼西亚和美国也是该恶意软件锁定的目标国家。
除了采用各种混淆技术增加逆向工程分析的难度外,新变种的Crocodilus还具备在收到“TRU9MMRHBCRO”命令后,向受害者联系人列表添加指定联系人的能力。
据推测,此功能旨在应对谷歌在安卓系统中引入的新安全防护措施——当用户在与未知联系人进行屏幕共享期间启动银行应用时,系统会发出可能的诈骗警报。
ThreatFabric分析称:“我们认为其意图是添加一个具有说服力名称(如‘银行客服’)的电话号码,使攻击者能够以看似合法的身份呼叫受害者。这也可能绕过那些标记未知号码的欺诈预防措施。”
另一个新功能是自动化的助记词收集器,它利用解析器来提取特定加密货币钱包的助记词和私钥。
该公司总结道:“涉及Crocodilus安卓银行木马的最新攻击活动,标志着该恶意软件在技术复杂性和操作范围上都发生了令人担忧的演变。值得注意的是,其攻击活动不再局限于特定区域;该木马已将触角延伸至新的地理区域,凸显出其已转变为真正的全球性威胁。”
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
