【安全资讯】Android恶意软件Crocodilus新增伪造联系人功能以冒充可信来电者

概要：

最新版本的Android恶意软件Crocodilus引入了一种新机制，通过在受感染设备的联系人列表中添加伪造联系人，欺骗受害者接听来自威胁行为者的电话。这一功能与多项以规避为重点的改进一同推出，显示出该恶意软件已将其攻击范围扩展至全球。Crocodilus的快速演变及其对社会工程学的偏好，使其成为一种特别危险的恶意软件。

主要内容：

Crocodilus恶意软件最初由Threat Fabric研究人员在2025年3月底记录，其早期版本已具备广泛的数据窃取和远程控制能力。当时，该恶意软件仅在土耳其的小规模攻击活动中出现。然而，最新监测显示，Crocodilus的攻击范围已扩展至全球各大洲。

最新版本的Crocodilus通过代码打包和额外的XOR加密层提高了规避能力，同时增加了代码混淆和纠缠技术，使得逆向工程更加困难。此外，恶意软件还新增了在受感染设备上本地解析被盗数据的功能，以提高数据收集的质量。

最引人注目的新功能是能够添加伪造联系人。当受害者接听来电时，设备会显示伪造的联系人姓名而非真实来电号码，使攻击者能够冒充银行、公司甚至亲友。这一功能通过特定命令触发，利用ContentProvider API在设备上创建新联系人。

安全专家建议Android用户仅从Google Play或可信发布者处下载软件，确保Play Protect始终处于激活状态，并尽量减少不必要的应用程序使用。