新型Crocodilus恶意软件窃取Android用户加密钱包密钥

首页 > 清静研究 > 清静转达 > 清静简讯

新型Crocodilus恶意软件窃取Android用户加密钱包密钥

宣布时间 2025-03-31

1. 新型Crocodilus恶意软件窃取Android用户加密钱包密钥

3月30日，，，，新发明的Android银行恶意软件"Crocodilus"通过整合社会工程学攻击与高级渗透手艺，，，，展现出对加密钱币钱包及金融账户的严重威胁。。。该恶意软件使用专有植入器绕过Android 13及以上版本的清静机制，，，，通过恶意网站、社交诓骗或第三方应用市肆实验初始熏染。。。其攻击链的焦点在于诱导用户泄露加密钱包的"种子短语"，，，，攻击者通过伪造系统忠言界面，，，，鞭策用户在12小时内备份钱包密钥，，，，实则使用辅助功效效劳纪任命户输入信息，，，，进而完全控制数字资产。。。手艺剖析显示，，，，Crocodilus具备完整的RAT（远程会见木马）功效，，，，可实验23项装备控制指令，，，，包括阻挡短信、改动认证器截图窃取双因素令牌、笼罩屏幕界面偷取银行凭证等。。。其特殊能力在于激活黑屏静默模式隐藏攻击行为，，，，同时滥用辅助功效效劳突破无障碍权限限制。。。目今攻击目的集中于土耳其和西班牙的金融用户，，，，但�？？？？？榛杓铺逑制渚弑缚焖倮┱构セ髅娴那绷�。。。清静专家建议用户应严酷遵照官方应用市肆下载原则，，，，坚持Play Protect实时防护，，，，并对要求提供敏感信息的异常系统提醒坚持小心。。。

https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/

2. Oracle Health旧效劳器遭入侵致美多家医院患者数据泄露

3月28日，，，，着名医疗信息化效劳商Oracle Health（前身为Cerner）确认其遗留效劳器遭未授权会见，，，，导致多家美国医疗机构患者数据泄露。。。据视察，，，，攻击者使用泄露的客户凭证于2025年1月入侵未迁徙至Oracle Cloud的旧版Cerner效劳器，，，，窃取了可能包括电子康健纪录（EHR）的敏感信息。。。只管Oracle在私密通知中仅表述为"部分数据受影响"，，，，但多个新闻源证实患者信息确已被盗。。。此次事务袒露Oracle在危�；；；；χ贸头Ｖ械耐该鞫热狈Γ菏苡跋煲皆菏盏降耐ㄖ幽赏ㄋ装字蕉枪俜叫偶悖�，，，且公司未果真认可清静违规。。。更引发关注的是，，，，威胁行为者"安德鲁"通过明网网站实验勒索，，，，要求数百万美元加密钱币以阻止数据果真，，，，其攻击手法与已知勒索团伙无关联。。。医疗机构被迫自行评估是否违反HIPAA规则并肩负�；；；；颊咄ㄖ鹑危�，，，而Oracle仅提供有限协助模板和用度赔偿。。。手艺细节显示，，，，攻击者将偷取数据转移至远程效劳器，，，，其作案手法与近期Oracle Cloud联合单点登录（SSO）效劳器遭入侵事务保存潜在关联。。。此前威胁者曾宣称窃取600万条LDAP认证数据，，，，只管Oracle官方否定，，，，但客户验证样本证实数据有用性。。。清静专家指出，，，，Oracle在处置惩罚两起事务中的信息关闭战略，，，，可能加剧医疗客户在合规应对和患者信任重修中的逆境。。。

https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/

3. Grandoreiro木马再发全球垂纶攻击，，，，伪装税务窃取金融数据

3月28日，，，，网络清静公司Forcepoint近期宣布的威胁情报显示，，，，恒久活跃的Grandoreiro银行木马正通过新型网络垂纶攻势对全球金融系统组成严重威胁。。。该恶意软件自2016年首次现身巴西后，，，，逐步将攻击规模扩展至墨西哥、葡萄牙、西班牙等拉美及欧洲国家，，，，并在2024年进一步将目的锁定亚洲金融机构，，，，形成笼罩1700家银行及276个加密钱包的全球攻击网络。。。值得关注的是，，，，Grandoreiro接纳"恶意软件即效劳"（MaaS）商业模式运营，，，，其背后的Tetrade犯法集团即便在2021年与2024年多次执法攻击中成员遭捕，，，，仍一连更新攻击手法。。。最新攻击活动使用OVHcloud基础设施伪装税务�？？？？？钔ㄖ�，，，通过Mediafire平台分发的PDF文档加载恶意载荷，，，，受害者收到的混淆型Visual Basic剧本与虚伪Delphi可执行文件，，，，可窃取账户凭证并通过加密压缩文件规避清静检测。。。手艺层面，，，，该木马展现出高度�？？？？？榛墓セ魈卣鳎褐葱泻蟛坏匀∮没局ぃ�，，，还会扫描比特币钱包路径并与攻击者控制的contaboserver[.]net子域名建设C&C通讯，，，，通过频仍替换子域名域名来逃避追踪。。。Forcepoint特殊强调，，，，攻击者正使用正当托管效劳Contabo的信誉实验犯法，，，，凸显了网络犯法链条中基础设施滥用的新趋势。。。

https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/

4. Twitter(X)涉嫌内部职员操作导致28亿小我私家资料数据泄露

3月29日，，，，社交媒体平台X（原Twitter）遭遇史上最大规模用户数据泄露事务，，，，涉及高达28亿用户信息，，，，但该公司至今未作官方回应。。。清静社区Breach Forums上，，，，用户ThinkingOne宣布声明称，，，，此次泄露源于X公司裁人时代某员工的不满行为，，，，并提供了包括400GB原始数据的证据。。。此次事务与2023年泄露形成鲜明比照。。。2023年岁件涉及2.09亿用户，，，，主要袒露电子邮件、用户名等果真信息，，，，X公司其时以"无敏感数据"为由淡化影响。。。而2025年泄露虽不含电子邮件，，，，却包括用户ID、账户建设日期、地理位置、推文历史等动态元数据，，，，实质构建了用户行为的全维度画像。。。值得注重的是，，，，ThinkingOne将两次泄露数据合并天生34GB数据集，，，，导致公众误判2025年泄露包括邮件信息。。。现实上，，，，邮件数据仅来自2023年岁件。。。这种混淆操作放大了事务影响，，，，引发对数据完整性的质疑。。。关于28亿用户的异常数字，，，，清静专家指出可能保存多重统计误差：包括已删除账户、机械人账号、API效劳账号等非真适用户实体，，，，或是历史数据叠加导致重复计数。。。别的，，，，ThinkingOne的数据泉源仍存疑，，，，其身份更偏向数据剖析师而非古板黑客，，，，其获取途径可能涉及内部泄密或重大的数据聚合。。。

https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/

5. 山姆会员店视察Clop勒索软件，，，，零日误差威胁数据清静

3月28日，，，，沃尔玛旗下仓储零售巨头山姆会员市肆（Sam's Club）正面临Clop勒索软件团伙的入侵指控，，，，该组织已在其暗网泄密平台宣布相关条目。。。作为全美拥有600余家门店、外洋笼罩中墨两国的仓储连锁企业，，，，山姆拥有230万员工及843亿美元年营业额，，，，其信息资产价值使其成为网络犯法的高价值目的。。。山姆讲话人证实已启动清静事务视察，，，，强调"客户数据清静是主要关切"。。。只管企业未披露手艺细节，，，，但Clop团伙的指控模式显示其习用零日误差实验供应链攻击——今年头该团伙已使用Cleo文件传输软件的未披露误差（CVE-2024-50623）实验大规模数据窃�。。。�，，，导致西部同盟银行等4000余家机构中招。。。值得关注的是，，，，Clop此次攻击与去年针对Accellion FTA等文件传输系统的零日误差使用如出一辙，，，，反应出其对要害基础设施的精准攻击战略。。。而山姆并非首次遭遇清静危�；；；；�2020年曾爆发凭证填充攻击，，，，迫使企业重置数万客户密码，，，，其时公司强调系外部垂纶活动所致而非系统被突破。。。目今视察焦点在于确认Clop是否乐成渗透山姆系统，，，，以及是否使用Cleo误差实验攻击。。。鉴于山姆会员数据包括消耗纪录等敏感信息，，，，潜在泄露危害可能引发大规模诓骗及合规危害。。。

https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/

6. Morphing Meerkat垂纶即效劳使用DoH与MX纪录规避检测

3月28日，，，，网络犯法领域近期浮现的"Morphing Meerkat"垂纶即效劳（PhaaS）平台，，，，展现出高度细密的攻击手艺链。。。该组织自2020年起一连活跃，，，，通过DNS over HTTPS（DoH）加密协议与DNS邮件交流（MX）纪录盘问构建动态攻击基础设施，，，，乐陋习避古板清静监测。。。研究显示，，，，该团伙运营着包括114个品牌仿冒模板的垂纶工具包，，，，使用iomart和HostPapa的SMTP效劳分发多语言垂纶邮件。。。攻击邮件接纳"账户停用"等紧迫主题，，，，配合发件人地点伪造手艺，，，，诱导受害者点击恶意链接。。。后续攻击链经由全心设计的开放重定向路径，，，，涉及被入侵的WordPress站点、虚伪域名及免费托管效劳，，，，最终通过Google/Cloudflare的DoH效劳加载垂纶页面。。。手艺突破体现在其双重规避战略：一方面，，，，DoH加密盘问使DNS流量剖析失效；；；；；另一方面，，，，实时剖析受害者邮箱域的MX纪录，，，，动态天生与其邮件效劳商匹配的垂纶页面。。。攻击者甚至设置"密码过失"虚伪提醒，，，，诱骗用户重复提交凭证，，，，并通过AJAX请求与PHP剧本即时回传数据，，，，辅以Telegram机械人实现实时数据转发。。。防御剖析指出，，，，企业应增强DNS层管控，，，，限制非营业相关的DoH通讯，，，，阻断与广告手艺、文件共享等高危害基础设施的交互。。。

https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

凯旋国际游戏

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系凯旋国际游戏

清静研究