Android恶意软件Crocodilus新增伪造联系人功能 窃取加密钱包密钥

近日，网络安全公司ThreatFabric报告称，Android平台上的恶意软件Crocodilus引入了一种新机制，通过伪造联系人功能，允许攻击者在受感染设备的通讯录中添加虚假联系人，从而冒充银行、公司或亲友进行诈骗。

据ThreatFabric称，Crocodilus在2025年3月下旬于土耳其首次被发现，现已扩散至欧洲、南美、亚洲等地区，成为全球性威胁。

Crocodilus的最新版本通过Android的ContentProvider API，在用户不知情的情况下添加伪造联系人，当攻击者拨打电话时，受害者的设备会显示伪造的联系人名称，使诈骗电话看起来更加可信，增加用户上当受骗的风险。

此外，在报告中，早期版本的Crocodilus还会伪装成热门应用程序，如Google Chrome（包名为quizzical.washbowl.calamity），利用虚假广告、社交媒体链接和第三方应用商店诱导用户下载，一旦安装，恶意软件会请求获取Android的辅助功能权限，从而监控屏幕内容、模拟手势操作，并与远程命令与控制服务器建立连接，接收进一步的指令和恶意代码。

Crocodilus旨在针对加密货币钱包，通过显示12小时钱包密钥过期的警告，诱导用户备份钱包密钥，从而引导用户查看加密钱包的种子短语，Crocodilus通过辅助功能记录器捕获这些信息，获取钱包的完全控制权。

ThreatFabric报告称，Crocodilus在受感染的设备上保持持续存在，并利用可访问性日志记录来监控用户活动。它可以检测应用程序启动并实时显示叠加；捕获敏感的屏幕数据，包括来自Google Authenticator的数据；使用黑屏叠加层隐藏恶意操作；将声音静音以防止用户被发现。

此外，Crocodilus还可以实现启动指定的应用程序；从设备中自行移除；推送虚假通知；向选定联系人或所有联系人发送短信；检索联系人列表和SMS消息；收集已安装的应用程序数据；请求设备管理员权限；启用或禁用声音和键盘记录；将自身设置为默认SMS管理器；远程更新C2服务器配置等功能。