【6月4日綜合報道】 據(jù)科技媒體Bleepingcomputer于6月3日披露，一款名為Crocodilus的安卓惡意軟件正在全球范圍內加速傳播，其最新變種具備一項極具欺騙性的新功能：在受害者設備上創(chuàng)建偽造的本地聯(lián)系人，顯著提升詐騙電話的得手率。

網(wǎng)絡安全研究機構Threat Fabric（荷蘭）在其最新研究報告中指出，Crocodilus最早于2025年3月現(xiàn)身，初期活動范圍主要局限于土耳其，功能相對基礎，以竊取用戶數(shù)據(jù)和實施遠程控制為主。該惡意軟件曾利用偽造的錯誤彈窗進行社交工程攻擊，誘騙用戶緊急“備份”加密貨幣錢包密鑰，否則將面臨“資產損失”。

然而，Threat Fabric的最新監(jiān)測數(shù)據(jù)顯示，Crocodilus的攻擊范圍已急劇擴大至全球多個國家和地區(qū)。受害者分布熱力圖清晰顯示，其影響范圍已橫跨歐亞非大陸及美洲部分區(qū)域。

技術能力顯著增強，規(guī)避檢測手段升級

報告強調，新版本的Crocodilus在技術上進行了重大升級，以增強其隱蔽性和對抗分析的能力：

• 加載器（Dropper） 采用了復雜的代碼打包技術。
• 核心惡意載荷（Payload） 增加了額外的XOR加密層。
• 廣泛運用代碼混淆和糾纏技術，極大增加了安全研究人員進行逆向分析的難度。
• 惡意軟件現(xiàn)在能夠在受感染設備上本地解析竊取的數(shù)據(jù)（如登錄憑證、金融信息等），進行初步篩選后再傳輸給攻擊者，此舉提高了所竊數(shù)據(jù)的質量和利用價值。

核心威脅：偽造本地聯(lián)系人，冒充可信來源

最值得警惕的新增功能是Crocodilus能夠根據(jù)攻擊者發(fā)出的特定指令（例如命令代碼 TRU9MMRHBCRO），直接在受害者的安卓設備通訊錄中創(chuàng)建偽造的聯(lián)系人條目。

此功能的危害性在于：當攻擊者撥打受害者電話時，受害者手機屏幕上顯示的將是偽造聯(lián)系人的名稱（例如預設為“銀行客服”、“某親友”），而非真實的陌生號碼。這極大地增強了來電的欺騙性，使受害者更容易誤認為是來自可信機構或熟人的聯(lián)系，從而落入詐騙陷阱（如轉賬匯款、透露敏感信息）。

技術細節(jié)與隱蔽性：研究人員確認，該功能通過濫用安卓系統(tǒng)的ContentProvider API實現(xiàn)。值得注意的是，這些偽造的聯(lián)系人僅存儲在設備本地，不會同步至用戶的Google賬戶。這意味著：

1. 用戶在網(wǎng)頁版或其他設備上查看Google通訊錄時無法發(fā)現(xiàn)異常。
2. 惡意軟件卸載或設備重置后，偽造聯(lián)系人會自動消失。
3. 該設計極大提升了操作的隱蔽性，普通用戶難以察覺。

安全建議與風險提示

Threat Fabric研究人員向全球安卓用戶發(fā)出強烈警告，并建議采取以下防護措施：

1. 嚴格管控應用來源：僅從官方應用商店（Google Play Store）或絕對可信賴的渠道下載安裝應用。警惕來源不明的APK安裝包。
2. 審慎授權應用權限：安裝應用時，仔細審查其申請的權限。對索要通訊錄、短信等高敏感權限的非必要應用（如工具類軟件）保持高度警惕，必要時拒絕授權。
3. 及時更新操作系統(tǒng)：確保安卓設備及時安裝最新的安全補丁，修復已知漏洞。
4. 部署可靠安全軟件：安裝并定期更新信譽良好的移動安全防護應用。
5. 保持警惕，多方驗證：即使來電顯示為“認識”的聯(lián)系人名稱，若涉及金錢交易、賬戶操作或敏感信息索取，務必通過其他獨立、可靠的渠道（如官方客服熱線、線下見面）進行二次確認。詐騙分子可能正在利用偽造聯(lián)系人信息實施精準詐騙。

目前，安全社區(qū)正在持續(xù)監(jiān)控Crocodilus的傳播態(tài)勢和技術演變。該惡意軟件的全球擴散及其偽造聯(lián)系人的新特性，標志著移動威脅在社交工程層面達到了新的復雜程度，用戶需提高防范意識。