一种名为 Crocodilus 的复杂新型 Android 银行木马已成为一个重大的全球威胁，它展示了先进的设备接管功能，使网络犯罪分子能够对受感染的智能手机进行前所未有的控制。

该恶意软件于 2025 年 3 月首次被发现，并迅速从本地化测试活动演变为针对多个大洲的金融机构和加密货币平台的全球行动。

该恶意软件最初出现在主要针对土耳其的活动中，但最近的情报显示，该策略积极扩张，现在包括波兰和西班牙在内的欧洲国家，同时将其覆盖范围扩展到南美市场。

Crocodilus 采用一种特别阴险的分发方法，通过伪装成合法银行和电子商务应用程序的恶意 Facebook 广告，向用户承诺奖金和促销优惠以吸引下载。

Threat Fabric 分析师指出，这些欺诈性广告以非凡的隐蔽性运行，仅保持活动状态一到两个小时，而每个广告的展示量超过 1000 次。

这些活动专门针对 35 岁以上的用户，战略性地关注可支配收入较高且更有可能参与金融服务的人群。

点击下载链接后，受害者会被重定向到提供 Crocodilus dropper 的恶意网站，该 dropper 经过精心设计可绕过 Android 13+ 安全限制。

该恶意软件的全球野心在其全面的目标列表中显而易见，其中包括来自阿根廷、巴西、西班牙、美国、印度尼西亚和印度的金融应用程序。

这种地域扩张与日益复杂的伪装技术相吻合，包括在欧洲市场冒充加密货币挖矿应用程序和数字银行服务。

Crocodilus 与传统银行恶意软件的区别在于其不断发展的功能集，其功能集远远超出了传统的凭证盗窃，代表了移动设备入侵的新范式。

高级联系人作和加密货币定位

最新的 Crocodilus 变体引入了一项特别令人担忧的功能，该功能允许攻击者通过特定的命令结构纵受害者联系人列表。

当恶意软件收到命令“TRU9MMRHBCRO”时，它会自动将指定的联系人添加到受感染设备的地址簿中。

此功能使网络犯罪分子能够插入欺诈性条目，例如带有攻击者控制的电话号码的“Bank Support”，为后续的社会工程攻击创造合法性的假象，同时可能绕过标记未知呼叫者的欺诈预防系统。

该恶意软件的加密货币定位功能也通过利用 Android 的 AccessibilityLogging 功能的改进的助记词收集器得到了显着增强。

该系统使用复杂的正则表达式来提取敏感数据：-

this.regex1 = "[a-fA-F0-9]{64}";this.regex2 = "^(\\d+)\\.?\\s*(\\w+)$";this.regex3 = "\\d+";this.regex4 = "\\w+";this.regex5 = "^\\d+\\.?\\s*\\w+$";

这些模式支持从加密货币钱包应用程序中自动提取私钥和助记词，恶意软件对捕获的数据进行实时预处理，以提供高质量的情报，以便立即用于欺诈。