Crocodilus 安卓恶意软件全面控制设备以盗取加密钱包

• Crocodilus滥用Android辅助功能服务，读取恢复短语、记录按键并在生物识别解锁后发起转账
• 该恶意软件首次出现在2025年3月的土耳其，并在2025年中迅速扩展到欧洲、南美、印度和印度尼西亚
• 通过恶意广告、假钱包应用和伪造的浏览器更新页面进行传播，这些页面提供奖励或奖金

Crocodilus是一类于2025年3月首次被识别的Android恶意软件家族，已发展到通过利用系统权限攻击加密货币钱包，从而获得对感染设备的完全操作控制。该恶意软件的最新变体可以窃取恢复短语、执行远程操作，并直接从移动钱包应用中窃取资产。

根据1inch的信息，该恶意软件通过滥用Android的辅助功能服务和悬浮权限，读取屏幕文本、观察应用界面、记录按键以及拦截一次性密码。结合其远程访问模块，攻击者可以像实际持有设备一样操作受感染的手机。

远程控制实现解锁后资产盗窃

一旦钱包通过任何方式解锁，包括生物识别，Crocodilus即可在无需用户操作的情况下打开应用、导航界面并发起转账。一些变体会显示伪造的钱包备份提示，模仿合法界面，诱导用户重新输入恢复短语。当在受感染设备上输入时，攻击者可以立即获取凭证，并获得对资产的永久控制权。

该恶意软件具备复杂的社会工程能力。某些版本会创建伪造的支持联系方式，模仿钱包提供商或交易所。如果受害者注意到异常活动并试图联系支持，可能会无意中联系到攻击者，后者会利用这一点诱导他们透露更多敏感信息或批准恶意操作。

自3月发现以来的全球快速扩展

Crocodilus于2025年3月在土耳其的测试活动中首次出现。数周内，攻击范围扩展到西班牙和波兰，到2025年中，已在南美、印度、印度尼西亚以及美国部分地区活跃，据ThreatFabric报道。

该恶意软件主要通过恶意广告传播，包括Facebook上的广告。在波兰，模仿银行和电子商务平台的广告在一到两小时内被展示超过1000次，目标是35岁以上的用户。其他传播方式还包括假钱包应用和伪造的下载页面，这些页面伪装成浏览器更新或加密货币工具。

安全研究人员建议避免下载未知的APK文件，并审查哪些应用启用了辅助功能权限。合法的钱包应用、交易所和验证器通常不需要全部辅助功能权限。用户绝不应在没有合法恢复操作的情况下在移动设备上重新输入恢复短语，因为突如其来的提示通常是欺诈的迹象。如果怀疑设备感染，应立即将设备断网，并将剩余资产转移到干净的环境或硬件钱包中。