【6月4日综合报道】 据科技媒体Bleepingcomputer于6月3日披露,一款名为Crocodilus的安卓恶意软件正在全球范围内加速传播,其最新变种具备一项极具欺骗性的新功能:在受害者设备上创建伪造的本地联系人,显著提升诈骗电话的得手率。
网络安全研究机构Threat Fabric(荷兰)在其最新研究报告中指出,Crocodilus最早于2025年3月现身,初期活动范围主要局限于土耳其,功能相对基础,以窃取用户数据和实施远程控制为主。该恶意软件曾利用伪造的错误弹窗进行社交工程攻击,诱骗用户紧急“备份”加密货币钱包密钥,否则将面临“资产损失”。
然而,Threat Fabric的最新监测数据显示,Crocodilus的攻击范围已急剧扩大至全球多个国家和地区。受害者分布热力图清晰显示,其影响范围已横跨欧亚非大陆及美洲部分区域。
技术能力显著增强,规避检测手段升级
报告强调,新版本的Crocodilus在技术上进行了重大升级,以增强其隐蔽性和对抗分析的能力:
- 加载器(Dropper) 采用了复杂的代码打包技术。
- 核心恶意载荷(Payload) 增加了额外的XOR加密层。
- 广泛运用代码混淆和纠缠技术,极大增加了安全研究人员进行逆向分析的难度。
- 恶意软件现在能够在受感染设备上本地解析窃取的数据(如登录凭证、金融信息等),进行初步筛选后再传输给攻击者,此举提高了所窃数据的质量和利用价值。
核心威胁:伪造本地联系人,冒充可信来源
最值得警惕的新增功能是Crocodilus能够根据攻击者发出的特定指令(例如命令代码 TRU9MMRHBCRO),直接在受害者的安卓设备通讯录中创建伪造的联系人条目。
此功能的危害性在于:当攻击者拨打受害者电话时,受害者手机屏幕上显示的将是伪造联系人的名称(例如预设为“银行客服”、“某亲友”),而非真实的陌生号码。这极大地增强了来电的欺骗性,使受害者更容易误认为是来自可信机构或熟人的联系,从而落入诈骗陷阱(如转账汇款、透露敏感信息)。
技术细节与隐蔽性:研究人员确认,该功能通过滥用安卓系统的ContentProvider API实现。值得注意的是,这些伪造的联系人仅存储在设备本地,不会同步至用户的Google账户。这意味着:
- 用户在网页版或其他设备上查看Google通讯录时无法发现异常。
- 恶意软件卸载或设备重置后,伪造联系人会自动消失。
- 该设计极大提升了操作的隐蔽性,普通用户难以察觉。
安全建议与风险提示
Threat Fabric研究人员向全球安卓用户发出强烈警告,并建议采取以下防护措施:
- 严格管控应用来源:仅从官方应用商店(Google Play Store)或绝对可信赖的渠道下载安装应用。警惕来源不明的APK安装包。
- 审慎授权应用权限:安装应用时,仔细审查其申请的权限。对索要通讯录、短信等高敏感权限的非必要应用(如工具类软件)保持高度警惕,必要时拒绝授权。
- 及时更新操作系统:确保安卓设备及时安装最新的安全补丁,修复已知漏洞。
- 部署可靠安全软件:安装并定期更新信誉良好的移动安全防护应用。
- 保持警惕,多方验证:即使来电显示为“认识”的联系人名称,若涉及金钱交易、账户操作或敏感信息索取,务必通过其他独立、可靠的渠道(如官方客服热线、线下见面)进行二次确认。诈骗分子可能正在利用伪造联系人信息实施精准诈骗。
目前,安全社区正在持续监控Crocodilus的传播态势和技术演变。该恶意软件的全球扩散及其伪造联系人的新特性,标志着移动威胁在社交工程层面达到了新的复杂程度,用户需提高防范意识。
