注意惡意程式 Crocodilus！疊加虛假螢幕竊助記詞以盜取加密資產

ThreatFabric 網路安全分析師發現了一種新的安卓（Android）惡意程式，名為「Crocodilus」，旨在竊取用戶的 助記詞 / 種子短語（Seed Phrase）來盜取加密貨幣錢包中的資金。該惡意軟體透過螢幕疊加對用戶進行虛假警告，稱「在 12 小時內備份設定中的錢包助記詞」，否則就有可能失去對錢包的存取權限。

Crocodilus 透過專有植入器進行傳播，該植入器可繞過 Android 13 及更高版本的安全保護措施，從而逃避 Google Play Protect 系統的偵測。

該惡意程式請求訪問 Android 的可訪問性服務，這使黑客能夠監視應用程式啟動並在銀行和加密貨幣應用程式上疊加虛假螢幕以攔截用戶憑證。它偽裝成 Google Chrome 以規避 Android 13+ 限制，進一步複雜化檢測。

Crocodilus 透過虛假警報來說服用戶備份其錢包私鑰來運作，這些警報警告稱如果在指定時間內（通常為 12 小時）未完成備份，則將重置訪問權限。當用戶試圖尋找其助記詞時，該惡意程式利用可訪問性記錄器來捕獲敏感數據。擁有這些資訊後，網路罪犯可以完全控制目標加密貨幣錢包並盡情提領其資產。

目前，Crocodilus 的主要受害者位於土耳其和西班牙，但專家警告說，它的影響力可能很快會擴展到其他地區。該惡意程式擁有對受感染設備的遠程控制、鍵盤記錄和執行任意命令等功能，不僅對加密貨幣愛好者構成重大威脅，也對更廣泛的網路安全領域構成重大威脅。

Crocodilus 還具有先進的功能，包括啟動指定應用程式、從設備中自我刪除、發送推送通知、發送 SMS 訊息、檢索聯絡人列表和請求設備管理員權限。

它可以啟用黑色覆蓋層以隱藏其行為並靜音聲音，確保其活動不會被受害者發現。此外，它還可以捕獲 Google Authenticator OTP 代碼，進一步增強其破壞安全交易的能力。

為了防範此類威脅，用戶被鼓勵僅從 Google Play 等官方商店下載應用程式，並在時間限制下提供敏感資訊時要格外謹慎。

定期的安全更新和行動裝置防毒解決方案也可以在降低惡意程式感染風險方面發揮關鍵作用。用戶應該永遠不要輸入其種子短語，除非在受信任的設備上手動恢復錢包，因為這是像 Crocodilus 這樣的惡意程式用來盜取加密貨幣的常見策略。