Crocodilus 安卓恶意软件肆虐全球：窃取敏感数据、伪造联系人骗取信任

IT之家 6 月 4 日消息，科技媒体 bleepingcomputer 昨日（6 月 3 日）发布博文，报道称安卓恶意软件 Crocodilus 正在全球肆虐，通过在受感染设备的联系人列表中添加伪造联系人，欺骗受害者在接到威胁者来电时的信任感。

Threat Fabric 研究团队指出，Crocodilus 最早可以追溯到 2025 年 3 月，当时仅在土耳其小规模传播，表现为基本的数据窃取和远程控制能力。

IT之家援引博文介绍，早期版本通过虚假错误信息通过社交工程攻击，诱导用户在 12 小时内“备份”加密货币钱包密钥，否则将失去访问权限。

不过最新报告显示，该恶意软件已将攻击范围扩展至全球各地，受害者分布热图（Heatmap）显示其影响已覆盖多个国家和地区。

最新版本的“Crocodilus”在技术上大幅改进，增强了规避检测的能力。其加载器组件（Dropper）采用了代码打包技术，核心载荷（Payload）增加了 XOR 加密层。此外，代码混淆和纠缠技术让逆向工程变得更加困难。

研究人员还发现，该恶意软件能在受感染设备上本地解析窃取的数据，再将其传输给威胁者，以提高数据收集的质量。

最引人注目的新功能是“Crocodilus”能通过特定命令（如“TRU9MMRHBCRO”）在受害者设备上创建伪造联系人。

当威胁者拨打电话时，设备会显示联系人列表中的名称，而非真实的来电号码。这让攻击者能冒充亲友或者银行工作人员，极大地提升了来电的可信度。

报告指出这种操作通过 ContentProvider API 实现，且伪造联系人不会同步至用户的 Google 账户，仅存在于本地设备，增加了隐蔽性。