'Crocodilus' 恶意软件窃取密钥短语，全球范围内攻击加密货币用户

恶意软件具备种子词收集解析器

Threat Fabric的移动威胁情报 (MTI) 团队向加密货币用户发出了警告，称一种新的Crocodilus移动恶意软件变体现配备了自动化种子词收集器。该恶意软件于三月首次被发现，现据报道已将其目标用户从欧洲国家扩大至南美用户。

在其最新的博客文章中，MTI团队表示，Crocodilus的新变体专门针对加密货币钱包应用程序。使该变种特别令人担忧的是其额外的解析器，这有助于从特定钱包中提取种子词和私钥。

尽管仍基于早期变体中存在的可访问性日志功能，更新后的恶意软件包含对屏幕上日志数据的改进预处理。此增强功能允许使用正则表达式在显示前以特定格式提取数据。

“在我们之前关于Crocodilus的博客中，我们强调了网络犯罪分子对加密货币钱包的兴趣，因为他们让受害者打开钱包应用程序以便进一步窃取屏幕上显示的数据，”团队解释道。“通过设备端的额外解析，威胁行为者接收到高质量的预处理数据，准备在账号接管等欺诈操作中使用，目标直指受害者的加密货币资产。”

除了额外的解析器，更新后的恶意软件还具备一项能力，使网络犯罪分子能够修改被感染设备上的联系人列表。MTI团队怀疑此功能使攻击者可以在联系人中添加一个貌似真实的号码，如“银行支持”。这个联系人随后可用于拨打受害者的电话，同时看起来合法，从而有可能绕过标记未知号码的欺诈预防措施。

根据MTI团队的说法，Crocodilus正在土耳其和西班牙积极进行网络攻击活动，目标是主要银行和加密货币平台的用户。在土耳其，它伪装成网上赌场并通过恶意广告传播，在金融应用程序上覆盖虚假登录页面。

在西班牙，它被分发为伪造的浏览器更新，目标几乎是所有西班牙银行。团队补充道，亦检测到全球目标的小规模活动，涉及阿根廷、巴西、美国、印尼和印度的应用程序。