TechFlowの報道によると、3月31日、Bleeping ComputerはAndroid向けの新たなマルウェア「Crocodilus」について伝えた。このマルウェアはソーシャルエンジニアリング手法を用いてユーザーに暗号ウォレットのリカバリフレーズを入力させ、ウォレットのキーを盗み出して被害者の資産を完全に掌握する。
Crocodilusは専用の悪意あるインストーラーを通じてAndroid 13以降のセキュリティ保護機能を回避し、Google Play Protectやアクセシビリティサービスの制限を引き起こすことなく自身をインストールできる。その主な攻撃方法はスクリーンオーバーレイ技術を利用して警告メッセージを偽装し、ユーザーに「12時間以内にウォレットキーをバックアップしないとアクセス権を失う」と誤認させ、これによりリカバリフレーズを自ら開示させるというものだ。
さらに、このマルウェアにはリモートアクセストロイの木馬(RAT)機能も備えられており、SMSの取得、通話転送の有効化、通知の送信、画面ロックなど、複数のデバイス制御コマンドを実行できる。初期の被害者は主にトルコおよびスペインに集中しており、攻撃対象には銀行口座および暗号資産アプリが含まれる。研究者らは、このマルウェアの起源がトルコにある可能性を示唆している。




