Crocodilus恶意软件升级，伪造联系人实施精准诈骗

近期，一种名为 Crocodilus 的安卓恶意软件在全球范围内扩散，引发了安全领域的关注。该恶意软件通过在受感染设备的联系人列表中添加伪造的联系人信息，使受害者在接到威胁者电话时误以为对方是熟人或可信机构人员，从而降低警惕。

根据相关研究团队的分析，Crocodilus 最早可追溯至 2025 年 3 月，最初仅在土耳其小范围传播。当时的版本具备基础的数据窃取和远程控制功能。早期形态的恶意软件通过弹出虚假错误提示，诱导用户在 12 小时内执行所谓“备份”操作，以保存加密货币钱包密钥，否则将失去访问权限。这种手段利用了社交工程学原理，使用户在恐慌中落入圈套。

目前，该恶意软件的攻击范围已从局部扩展至全球，影响多个国家和地区。根据最新报告，其技术手段也有了显著升级，增强了逃避检测的能力。其加载器（Dropper）采用了代码打包技术，核心部分（Payload）则增加了 XOR 加密机制。同时，代码混淆和纠缠技术的引入，进一步提高了逆向分析的难度。

与旧版本相比，新版本的 Crocodilus 还具备本地解析窃取数据的能力，这使得传输给攻击者的信息更为精准和高效，从而提升了数据收集的质量。

尤为值得注意的是，该恶意软件可以通过特定指令（如“TRU9MMRHBCRO”）在受害者的设备中创建伪造联系人。当攻击者拨打电话时，手机界面上显示的会是伪造的联系人名称，而非实际的来电号码。这种方式大大提升了欺诈电话的可信度，使受害者更易上当受骗。

研究还发现，这一功能通过调用 ContentProvider API 实现，伪造的联系人信息不会同步到用户的云端账户，仅保存在本地设备中，因此更加隐蔽，难以察觉。