クロコダイルスAndroidマルウェアが完全なデバイス制御を奪い、暗号通貨ウォレットを盗む

• CrocodilusはAndroidアクセシビリティサービスを悪用し、リカバリーフレーズの読み取り、キーストロークの記録、バイオメトリック解除後の送金を開始します
• このマルウェアは2025年3月にトルコで初めて出現し、2025年中頃までにヨーロッパ、南米、インド、インドネシアに急速に拡大しました
• 配布は悪意のある広告、偽のウォレットアプリ、報酬やボーナスを提供する偽のブラウザアップデートページを通じて行われます

Crocodilusは、2025年3月に初めて特定されたAndroidマルウェアファミリーで、システムの権限を悪用して感染したデバイスの完全な操作制御を得ることで、暗号通貨ウォレットを標的とするよう進化しています。最新のバリアントは、リカバリーフレーズの盗取、リモート操作の実行、モバイルウォレットアプリからの資産の直接引き出しを可能にします。

このマルウェアは、Androidのアクセシビリティサービスとオーバーレイ権限を悪用して、画面上のテキストの読み取り、アプリインターフェースの観察、キーストロークの記録、認証ツールからのワンタイムパスワードの傍受を行います。1inchによると、リモートアクセスモジュールと組み合わせることで、攻撃者は物理的に端末を操作しているかのように感染端末を操作できます。

リモートコントロールによる資産盗難と解除後の操作

ウォレットがバイオメトリックなどの方法で解除されると、Crocodilusはアプリを開き、インターフェースを操作し、ユーザーの入力なしに送金を開始できます。一部のバリアントは、正規のインターフェースに非常に似せた偽のウォレットバックアッププロンプトを表示し、ユーザーにリカバリーフレーズの再入力を促します。感染したデバイスに入力されると、攻撃者は即座に資格情報を取得し、資産に対する恒久的なコントロールを得ます。

このマルウェアは高度なソーシャルエンジニアリング能力も備えています。特定のバージョンは、ウォレット提供者や取引所を模倣した偽のサポート連絡先を作成します。被害者が異常な活動に気づきサポートに連絡しようとすると、知らずに攻撃者に接触し、追加の機密情報を漏らしたり、悪意のある操作を承認させたりすることがあります。

2025年3月の発見以降の急速な世界的拡大

Crocodilusは、2025年3月のテストキャンペーン中にトルコで初めて確認されました。数週間以内にスペインやポーランドに拡大し、2025年中頃には南米、インド、インドネシア、アメリカの一部地域にまで活動範囲を広げました。ThreatFabricによると。

このマルウェアは主に、Facebookを含む悪意のある広告を通じて拡散しています。ポーランドでは、銀行や電子商取引プラットフォームを模倣した広告が1〜2時間で1000回以上表示され、35歳以上のユーザーをターゲットにしていました。その他の配布手段には、偽のウォレットアプリやブラウザのアップデートや暗号通貨ツールを装った偽のダウンロードページも含まれます。

セキュリティ研究者は、未知のAPKファイルを避けることや、アクセシビリティサービスの権限が付与されているアプリを確認することを推奨しています。正規のウォレットアプリ、取引所、認証アプリは、完全なアクセシビリティを必要としません。ユーザーは、正規のリカバリーを行う場合を除き、リカバリーフレーズをモバイルデバイスに再入力しないよう注意すべきです。予期しないプロンプトは詐欺の兆候であることが多いためです。感染が疑われる場合は、直ちに端末をオフラインにし、残っている資産をクリーンな環境やハードウェアウォレットに移動してください。