新型Android銀行木馬「鱷魚」偽裝APP竊取個資、加密貨幣

記者孫敬／編譯

根據資安公司ThreatFabric的最新報告指出，資安界近期發現一種名為「Crocodilus」（鱷魚）的Android銀行木馬（Banking trojan），且越來越多惡意活動正利用這個新型木馬，鎖定歐洲和南美洲的用戶，同時也持續針對土耳其市場進行攻擊。

延伸閱讀：資安事件從何來？趨勢科技點出73%未受管理的資產成攻擊來源

新型「鱷魚」銀行木馬全球大流行，假冒程式、廣告誘騙用戶上鉤

這款「鱷魚」木馬不僅採用了更精密的混淆技術來躲避分析和偵測，還能夠在受害者的通訊錄中建立新的聯絡人。ThreatFabric表示，最新多個惡意活動現正針對歐洲國家，同時持續對土耳其發動攻勢，並已擴展至南美洲等全球範圍。」

「Crocodilus」木馬最初於2025年3月被發現，當時它主要偽裝成Google Chrome等合法應用程式，鎖定西班牙和土耳其的Android裝置用戶，能針對從外部伺服器針對金融應用程式發動「覆蓋攻擊」（Overlay attacks），藉此竊取用戶的登入憑證。它還會濫用無障礙服務權限（Accessibility Service permissions），以取得加密貨幣錢包的助記詞（Seed phrases），奪走持有者的加密貨幣。

ThreatFabric的最新研究結果表明，該木馬的地理攻擊範圍正在擴大，且其開發者持續進行功能強化和新增，這意味著其背後的駭客組織，正積極維護並升級此惡意軟體。

從臉書廣告到詐騙聯絡人，木馬手法日趨細膩

另外，該木馬還針對波蘭用戶，透過臉書（Facebook）上的虛假廣告作為傳播途徑，這些廣告偽裝成銀行或電子商務平台，誘騙受害者下載應用程式以領取所謂的「獎勵點數」。當用戶嘗試下載時，會被導向一個惡意網站，進而下載到Crocodilus。

其他針對西班牙和土耳其用戶的攻擊，則偽裝成網頁瀏覽器更新程式或線上賭場應用程式。阿根廷、巴西、印度、印尼和美國等國家也已被該木馬鎖定。

除了整合各種混淆技術來增加逆向工程的難度，新版本的「Crocodilus」木馬還能在收到特定指令後，將一個指定的聯絡人新增到受害者的通訊錄中。資安專家懷疑，這項功能是為了繞過Google在Android中引入的新安全保護措施，即當用戶在與不明聯絡人進行螢幕共享會話時啟動銀行應用程式，系統會發出潛在詐騙警報的這項功能。

ThreatFabric分析指出，攻擊者目的是在通訊錄中添加一個看似可信的電話號碼，例如『銀行支援』，讓攻擊者在撥打電話給受害者時顯得更具合法性。這也可能繞過會標記不明電話號碼的詐騙預防措施。」

另一項新功能是自動助記詞蒐集器，該功能利用語法解析器（Parser）來提取特定加密貨幣錢包的助記詞和私鑰。

【Google回應】 在此報導發布後，Google發言人向外媒回應：「根據我們目前的偵測，Google Play商店中未發現包含此惡意軟體的應用程式。Android用戶受Google Play Protect自動保護，該功能在配備Google Play服務的Android裝置上預設啟用。Google Play Protect可以警告用戶或阻擋已知會表現出惡意行為的應用程式，即使這些應用程式來自Play商店以外的來源。」

瀏覽 863 次