【6月4日綜合報(bào)道】 據(jù)科技媒體Bleepingcomputer于6月3日披露，一款名為Crocodilus的安卓惡意軟件正在全球范圍內(nèi)加速傳播，其最新變種具備一項(xiàng)極具欺騙性的新功能：在受害者設(shè)備上創(chuàng)建偽造的本地聯(lián)系人，顯著提升詐騙電話的得手率。

網(wǎng)絡(luò)安全研究機(jī)構(gòu)Threat Fabric（荷蘭）在其最新研究報(bào)告中指出，Crocodilus最早于2025年3月現(xiàn)身，初期活動范圍主要局限于土耳其，功能相對基礎(chǔ)，以竊取用戶數(shù)據(jù)和實(shí)施遠(yuǎn)程控制為主。該惡意軟件曾利用偽造的錯誤彈窗進(jìn)行社交工程攻擊，誘騙用戶緊急“備份”加密貨幣錢包密鑰，否則將面臨“資產(chǎn)損失”。

然而，Threat Fabric的最新監(jiān)測數(shù)據(jù)顯示，Crocodilus的攻擊范圍已急劇擴(kuò)大至全球多個國家和地區(qū)。受害者分布熱力圖清晰顯示，其影響范圍已橫跨歐亞非大陸及美洲部分區(qū)域。

技術(shù)能力顯著增強(qiáng)，規(guī)避檢測手段升級

報(bào)告強(qiáng)調(diào)，新版本的Crocodilus在技術(shù)上進(jìn)行了重大升級，以增強(qiáng)其隱蔽性和對抗分析的能力：

• 加載器（Dropper） 采用了復(fù)雜的代碼打包技術(shù)。
• 核心惡意載荷（Payload） 增加了額外的XOR加密層。
• 廣泛運(yùn)用代碼混淆和糾纏技術(shù)，極大增加了安全研究人員進(jìn)行逆向分析的難度。
• 惡意軟件現(xiàn)在能夠在受感染設(shè)備上本地解析竊取的數(shù)據(jù)（如登錄憑證、金融信息等），進(jìn)行初步篩選后再傳輸給攻擊者，此舉提高了所竊數(shù)據(jù)的質(zhì)量和利用價(jià)值。

核心威脅：偽造本地聯(lián)系人，冒充可信來源

最值得警惕的新增功能是Crocodilus能夠根據(jù)攻擊者發(fā)出的特定指令（例如命令代碼 TRU9MMRHBCRO），直接在受害者的安卓設(shè)備通訊錄中創(chuàng)建偽造的聯(lián)系人條目。

此功能的危害性在于：當(dāng)攻擊者撥打受害者電話時(shí)，受害者手機(jī)屏幕上顯示的將是偽造聯(lián)系人的名稱（例如預(yù)設(shè)為“銀行客服”、“某親友”），而非真實(shí)的陌生號碼。這極大地增強(qiáng)了來電的欺騙性，使受害者更容易誤認(rèn)為是來自可信機(jī)構(gòu)或熟人的聯(lián)系，從而落入詐騙陷阱（如轉(zhuǎn)賬匯款、透露敏感信息）。

技術(shù)細(xì)節(jié)與隱蔽性：研究人員確認(rèn)，該功能通過濫用安卓系統(tǒng)的ContentProvider API實(shí)現(xiàn)。值得注意的是，這些偽造的聯(lián)系人僅存儲在設(shè)備本地，不會同步至用戶的Google賬戶。這意味著：

1. 用戶在網(wǎng)頁版或其他設(shè)備上查看Google通訊錄時(shí)無法發(fā)現(xiàn)異常。
2. 惡意軟件卸載或設(shè)備重置后，偽造聯(lián)系人會自動消失。
3. 該設(shè)計(jì)極大提升了操作的隱蔽性，普通用戶難以察覺。

安全建議與風(fēng)險(xiǎn)提示

Threat Fabric研究人員向全球安卓用戶發(fā)出強(qiáng)烈警告，并建議采取以下防護(hù)措施：

1. 嚴(yán)格管控應(yīng)用來源：僅從官方應(yīng)用商店（Google Play Store）或絕對可信賴的渠道下載安裝應(yīng)用。警惕來源不明的APK安裝包。
2. 審慎授權(quán)應(yīng)用權(quán)限：安裝應(yīng)用時(shí)，仔細(xì)審查其申請的權(quán)限。對索要通訊錄、短信等高敏感權(quán)限的非必要應(yīng)用（如工具類軟件）保持高度警惕，必要時(shí)拒絕授權(quán)。
3. 及時(shí)更新操作系統(tǒng)：確保安卓設(shè)備及時(shí)安裝最新的安全補(bǔ)丁，修復(fù)已知漏洞。
4. 部署可靠安全軟件：安裝并定期更新信譽(yù)良好的移動安全防護(hù)應(yīng)用。
5. 保持警惕，多方驗(yàn)證：即使來電顯示為“認(rèn)識”的聯(lián)系人名稱，若涉及金錢交易、賬戶操作或敏感信息索取，務(wù)必通過其他獨(dú)立、可靠的渠道（如官方客服熱線、線下見面）進(jìn)行二次確認(rèn)。詐騙分子可能正在利用偽造聯(lián)系人信息實(shí)施精準(zhǔn)詐騙。

目前，安全社區(qū)正在持續(xù)監(jiān)控Crocodilus的傳播態(tài)勢和技術(shù)演變。該惡意軟件的全球擴(kuò)散及其偽造聯(lián)系人的新特性，標(biāo)志著移動威脅在社交工程層面達(dá)到了新的復(fù)雜程度，用戶需提高防范意識。