近日，網(wǎng)絡(luò)安全公司ThreatFabric報告稱，Android平臺上的惡意軟件Crocodilus引入了一種新機制，通過偽造聯(lián)系人功能，允許攻擊者在受感染設(shè)備的通訊錄中添加虛假聯(lián)系人，從而冒充銀行、公司或親友進行詐騙。

據(jù)ThreatFabric稱，Crocodilus在2025年3月下旬于土耳其首次被發(fā)現(xiàn)，現(xiàn)已擴散至歐洲、南美、亞洲等地區(qū)，成為全球性威脅。

Crocodilus的最新版本通過Android的ContentProvider API，在用戶不知情的情況下添加偽造聯(lián)系人，當(dāng)攻擊者撥打電話時，受害者的設(shè)備會顯示偽造的聯(lián)系人名稱，使詐騙電話看起來更加可信，增加用戶上當(dāng)受騙的風(fēng)險。

此外，在報告中，早期版本的Crocodilus還會偽裝成熱門應(yīng)用程序，如Google Chrome（包名為quizzical.washbowl.calamity），利用虛假廣告、社交媒體鏈接和第三方應(yīng)用商店誘導(dǎo)用戶下載，一旦安裝，惡意軟件會請求獲取Android的輔助功能權(quán)限，從而監(jiān)控屏幕內(nèi)容、模擬手勢操作，并與遠程命令與控制服務(wù)器建立連接，接收進一步的指令和惡意代碼。

Crocodilus旨在針對加密貨幣錢包，通過顯示12小時錢包密鑰過期的警告，誘導(dǎo)用戶備份錢包密鑰，從而引導(dǎo)用戶查看加密錢包的種子短語，Crocodilus通過輔助功能記錄器捕獲這些信息，獲取錢包的完全控制權(quán)。

ThreatFabric報告稱，Crocodilus在受感染的設(shè)備上保持持續(xù)存在，并利用可訪問性日志記錄來監(jiān)控用戶活動。它可以檢測應(yīng)用程序啟動并實時顯示疊加；捕獲敏感的屏幕數(shù)據(jù)，包括來自Google Authenticator的數(shù)據(jù)；使用黑屏疊加層隱藏惡意操作；將聲音靜音以防止用戶被發(fā)現(xiàn)。

此外，Crocodilus還可以實現(xiàn)啟動指定的應(yīng)用程序；從設(shè)備中自行移除；推送虛假通知；向選定聯(lián)系人或所有聯(lián)系人發(fā)送短信；檢索聯(lián)系人列表和SMS消息；收集已安裝的應(yīng)用程序數(shù)據(jù)；請求設(shè)備管理員權(quán)限；啟用或禁用聲音和鍵盤記錄；將自身設(shè)置為默認SMS管理器；遠程更新C2服務(wù)器配置等功能。