Crocodilus银行木马病毒正在全球范围内扩展，新的攻击活动瞄准加密货币钱包和银行应用程序，目前已蔓延至欧洲和南美洲。

Android银行木马病毒Crocodilus近期已发起新一轮攻击，瞄准欧洲和南美洲的加密货币用户以及银行客户。

Crocodilus于2025年3月首次被侦测到，早期样本主要限于土耳其地区。当时，该恶意程序伪装成在线赌场或银行应用，以窃取用户的登录凭证。

根据ThreatFabric移动威胁情报（MTI）团队的最新调查，这一威胁现已扩展至波兰、西班牙、阿根廷、巴西、印度尼西亚、印度和美国等国家。

针对波兰用户的攻击活动利用Facebook广告推广虚假忠诚度应用。用户点击广告后会被重定向至恶意网站，该站点会传递Crocodilus植入程序，从而绕过Android 13+系统的安全限制。

Facebook透明度数据揭示，这些广告在一至两小时内触及数千名用户，主要是针对35岁以上的人群。

Crocodilus针对银行和加密货币应用

一旦被安装，Crocodilus会覆盖在合法的银行和加密货币应用上，显示虚假的登录页面。在西班牙，它甚至伪装成浏览器更新程序，几乎攻击所有主要银行。

除了地域扩展，Crocodilus还新增了多项功能。一项显著的升级是可以修改受感染设备的联系人列表，使攻击者能够插入标记为“银行客服”的电话号码，以便进行社会工程学攻击。

另一个关键增强是针对加密货币钱包的自动助记词采集器。Crocodilus现可更准确地提取助记词和私钥，为攻击者提供预处理数据，实现快速账户接管。

同时，开发者通过深层混淆技术提升了Crocodilus的防御能力。最新变种采用了打包代码、额外的XOR加密和复杂化的逻辑设计，有效抵抗逆向工程分析。

MTI分析师还注意到，针对加密货币挖矿应用和欧洲数字银行的小规模攻击活动正在增加。

该报告指出：“与其前代版本类似，Crocodilus的新变种对加密货币钱包应用尤其关注。这一变种配备了额外的解析器，能更有效地提取特定钱包的助记词和私钥。”

加密货币窃取器作为恶意软件出售

在4月22日发布的报告中，加密货币取证与合规公司AMLBot披露，随着生态系统演变为软件即服务商业模式，加密货币窃取器（专为窃取加密货币设计的恶意软件）已变得更易获取。

报告指出，恶意软件传播者仅需支付100-300枚泰达币（USDT）即可租用窃取器。

5月19日，有消息称中国打印机制造商Procolored在其官方驱动程序中分发了比特币窃取恶意软件。

相关推荐：韩国选举亲加密候选人李在明为总统