鱷魚安卓惡意軟件全面控制設備以盜取加密貨幣錢包

• Crocodilus濫用Android輔助功能服務來讀取恢復短語、記錄鍵盤輸入並在生物識別解鎖後啟動轉帳
• 該惡意軟體首次於2025年3月在土耳其出現，並迅速擴展到歐洲、南美、印度和印尼，到2025年中已經遍佈多個地區
• 傳播途徑包括惡意廣告、假錢包應用程式以及偽造的瀏覽器更新頁面，這些都會提供獎勵或紅利誘騙用戶下載

Crocodilus是一個於2025年3月首次被識別的Android惡意軟體家族，已演變成專門攻擊加密貨幣錢包的工具，利用系統權限來獲取對感染設備的完全操作控制。該惡意軟體的最新變體能夠竊取恢復短語、執行遠端操作，甚至直接從行動錢包應用中轉移資產。

根據1inch的資訊，該惡意軟體通過濫用Android的輔助功能服務和疊加權限來讀取螢幕上的文字、觀察應用界面、記錄鍵盤輸入，以及攔截認證工具的一次性密碼。結合其遠端存取模組，攻擊者可以像實體持有手機一樣操作受感染的設備。

遠端控制在解鎖後實現資產竊取

一旦錢包被解鎖（包括生物識別解鎖），Crocodilus就能打開應用、導航界面並在未經用戶同意的情況下啟動轉帳。一些變體會顯示偽造的錢包備份提示，模仿正規界面，誘使用戶重新輸入恢復短語。當用戶在受感染的設備上輸入時，攻擊者能立即獲取憑證，並獲得對資產的永久控制權。

該惡意軟體已經發展出高階的社交工程能力。某些版本會建立假支援聯絡人，模仿錢包提供商或交易所的客服。如果受害者注意到異常活動並試圖聯絡支援，可能會不知不覺中聯繫到攻擊者，進而被操控提供額外敏感資訊或批准惡意操作。

自3月發現以來的快速全球擴散

根據ThreatFabric的資料，Crocodilus於2025年3月在土耳其的測試活動中首次出現。數週內，該惡意軟體已擴展至西班牙和波蘭，到2025年中，已在南美、印度、印尼及美國部分地區活躍。

該惡意軟體主要透過惡意廣告傳播，包括Facebook上的廣告。在波蘭，模仿銀行和電子商務平台的廣告在一到兩小時內被展示超過1000次，目標是年齡超過35歲的用戶。其他傳播方式還包括假錢包應用和偽造的下載頁面，這些頁面冒充瀏覽器更新或加密貨幣工具。

安全專家建議避免下載未知的APK檔案，並檢查哪些應用具有輔助功能服務的權限。合法的錢包應用、交易所和認證器通常不需要完整的輔助功能權限。用戶切勿在未經驗證的情況下在手機上重新輸入恢復短語，因為突如其來的提示通常代表詐騙。如果懷疑設備感染，應立即將設備離線，並將剩餘資產轉移到乾淨的環境或硬體錢包中。