Crocodilus 银行木马：对移动安全的严重威胁

在网络犯罪领域，我们发现了另一个将移动银行欺诈手段提升到令人震惊的复杂程度的恶意软件。这种恶意软件被称为 Crocodilus 银行木马，专门针对移动用户，尤其是西班牙和土耳其的移动用户。虽然它听起来可能只是另一种银行木马，但 Crocodilus 的复杂性和范围比现代恶意软件高出很多。

Table of Contents

什么是鳄鱼？

Crocodilus 是一种Android恶意软件，旨在窃取移动用户的敏感信息。它的主要目标是银行和金融应用程序，但也扩展到加密货币钱包，这在移动交易日益成为常态的世界中尤其危险。与之前的版本不同，Crocodilus 不仅仅是以前威胁的简单复制，而是一个精心设计的、成熟的威胁。该木马配备了各种先进的技术，包括远程控制功能、黑屏覆盖和通过可访问性日志收集数据。

鳄鱼是如何工作的？

安装后，Crocodilus 会像合法应用程序一样运行，以避免被检测到。事实上，它会伪装成一个看似无害的应用程序，伪装成 Google Chrome 的一个版本。这种巧妙的诡计可以帮助恶意软件绕过 Android 13 以上设备上的某些安全措施，使其更有效地突破用户的防御。

一旦安装，该木马就会请求访问 Android 的辅助功能服务，并利用这些服务来控制受害者的设备。这就是 Crocodilus 开始其恶意工作的地方。该木马会与远程服务器建立连接，然后服务器会发送下一步操作的指令。其中包括要瞄准的金融应用程序列表和用于窃取用户凭据的 HTML 覆盖。

Crocodilus 的一大突出特点是能够在合法登录页面之上显示虚假登录页面。在某些情况下，它甚至会以加密货币钱包为目标，但方式有所不同。该木马不会要求输入登录凭据，而是显示一条警告消息，警告受害者备份他们的种子短语，否则可能会失去对钱包的访问权限。这种社会工程技巧会引导用户透露关键信息，然后通过木马的可访问性功能获取这些信息。

Crocodilus 的全部能力

Crocodilus 被设计为在后台持续运行，以确保它可以监控设备上执行的所有活动。它能够在各种应用程序之上显示覆盖层以捕获用户凭据，甚至可以从 Google Authenticator 等身份验证应用程序获取用户凭据。此外，该木马还可以捕获受害者的屏幕截图，从而使网络犯罪分子能够收集更多敏感数据。

为了防止用户发现其活动，Crocodilus 采用了黑屏覆盖。这有效地隐藏了其恶意行为，同时静音以使受害者不知情。这些措施使用户更难注意到他们的设备已被入侵。

该恶意软件还具有很强的适应性。它可以启动指定的应用程序、发布推送通知、检索联系人列表、发送短信，甚至禁用某些设备功能。它可以将自己设为默认的短信管理器，并请求设备管理员权限，以进一步巩固自己在受害者系统中的地位。从本质上讲，Crocodilus 有可能完全接管设备，让攻击者完全控制受感染的手机。