IT之家援引博文介绍,早期版本通过虚假错误信息通过社交工程攻击,诱导用户在 12 小时内“备份”加密货币钱包密钥,否则将失去访问权限。
不过最新报告显示,该恶意软件已将攻击范围扩展至全球各地,受害者分布热图(Heatmap)显示其影响已覆盖多个国家和地区。
最新版本的“Crocodilus”在技术上大幅改进,增强了规避检测的能力。其加载器组件(Dropper)采用了代码打包技术,核心载荷(Payload)增加了 XOR 加密层。此外,代码混淆和纠缠技术让逆向工程变得更加困难。
研究人员还发现,该恶意软件能在受感染设备上本地解析窃取的数据,再将其传输给威胁者,以提高数据收集的质量。
最引人注目的新功能是“Crocodilus”能通过特定命令(如“TRU9MMRHBCRO”)在受害者设备上创建伪造联系人。
当威胁者拨打电话时,设备会显示联系人列表中的名称,而非真实的来电号码。这让攻击者能冒充亲友或者银行工作人员,极大地提升了来电的可信度。
报告指出这种操作通过 ContentProvider API 实现,且伪造联系人不会同步至用户的 Google 账户,仅存在于本地设备,增加了隐蔽性。
11010802020318 )
发表于 2025-6-4 17:25:20