新型Crocodilus恶意软件窃取Android用户加密钱包密钥

首页 > 清静研究 > 清静转达 > 清静简讯

新型Crocodilus恶意软件窃取Android用户加密钱包密钥

宣布时间 2025-03-31

1. 新型Crocodilus恶意软件窃取Android用户加密钱包密钥

3月30日，，，，，新发明的Android银行恶意软件"Crocodilus"通过整合社会工程学攻击与高级渗透手艺，，，，，展现出对加密钱币钱包及金融账户的严重威胁。。。该恶意软件使用专有植入器绕过Android 13及以上版本的清静机制，，，，，通过恶意网站、社交诓骗或第三方应用市肆实验初始熏染。。。其攻击链的焦点在于诱导用户泄露加密钱包的"种子短语"，，，，，攻击者通过伪造系统忠言界面，，，，，鞭策用户在12小时内备份钱包密钥，，，，，实则使用辅助功效效劳纪任命户输入信息，，，，，进而完全控制数字资产。。。手艺剖析显示，，，，，Crocodilus具备完整的RAT（远程会见木马）功效，，，，，可实验23项装备控制指令，，，，，包括阻挡短信、改动认证器截图窃取双因素令牌、笼罩屏幕界面偷取银行凭证等。。。其特殊能力在于激活黑屏静默模式隐藏攻击行为，，，，，同时滥用辅助功效效劳突破无障碍权限限制。。。目今攻击目的集中于土耳其和西班牙的金融用户，，，，，但�？？？？？榛杓铺逑制渚弑缚焖倮┱构セ髅娴那绷�。。。清静专家建议用户应严酷遵照官方应用市肆下载原则，，，，，坚持Play Protect实时防护，，，，，并对要求提供敏感信息的异常系统提醒坚持小心。。。

https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/

2. Oracle Health旧效劳器遭入侵致美多家医院患者数据泄露

3月28日，，，，，着名医疗信息化效劳商Oracle Health（前身为Cerner）确认其遗留效劳器遭未授权会见，，，，，导致多家美国医疗机构患者数据泄露。。。据视察，，，，，攻击者使用泄露的客户凭证于2025年1月入侵未迁徙至Oracle Cloud的旧版Cerner效劳器，，，，，窃取了可能包括电子康健纪录（EHR）的敏感信息。。。只管Oracle在私密通知中仅表述为"部分数据受影响"，，，，，但多个新闻源证实患者信息确已被盗。。。此次事务袒露Oracle在�；；；；；；；χ贸头Ｖ械耐该鞫热狈Γ菏苡跋煲皆菏盏降耐ㄖ幽赏ㄋ装字蕉枪俜叫偶悖�，，，，且公司未果真认可清静违规。。。更引发关注的是，，，，，威胁行为者"安德鲁"通过明网网站实验勒索，，，，，要求数百万美元加密钱币以阻止数据果真，，，，，其攻击手法与已知勒索团伙无关联。。。医疗机构被迫自行评估是否违反HIPAA规则并承�；；；；；；；颊咄ㄖ鹑危�，，，，而Oracle仅提供有限协助模板和用度赔偿。。。手艺细节显示，，，，，攻击者将偷取数据转移至远程效劳器，，，，，其作案手法与近期Oracle Cloud联合单点登录（SSO）效劳器遭入侵事务保存潜在关联。。。此前威胁者曾宣称窃取600万条LDAP认证数据，，，，，只管Oracle官方否定，，，，，但客户验证样本证实数据有用性。。。清静专家指出，，，，，Oracle在处置惩罚两起事务中的信息关闭战略，，，，，可能加剧医疗客户在合规应对和患者信任重修中的逆境。。。

https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/

3. Grandoreiro木马再发全球垂纶攻击，，，，，伪装税务窃取金融数据

3月28日，，，，，网络清静公司Forcepoint近期宣布的威胁情报显示，，，，，恒久活跃的Grandoreiro银行木马正通过新型网络垂纶攻势对全球金融系统组成严重威胁。。。该恶意软件自2016年首次现身巴西后，，，，，逐步将攻击规模扩展至墨西哥、葡萄牙、西班牙等拉美及欧洲国家，，，，，并在2024年进一步将目的锁定亚洲金融机构，，，，，形成笼罩1700家银行及276个加密钱包的全球攻击网络。。。值得关注的是，，，，，Grandoreiro接纳"恶意软件即效劳"（MaaS）商业模式运营，，，，，其背后的Tetrade犯法集团即便在2021年与2024年多次执法攻击中成员遭捕，，，，，仍一连更新攻击手法。。。最新攻击活动使用OVHcloud基础设施伪装税务�？？？？？钔ㄖ�，，，，通过Mediafire平台分发的PDF文档加载恶意载荷，，，，，受害者收到的混淆型Visual Basic剧本与虚伪Delphi可执行文件，，，，，可窃取账户凭证并通过加密压缩文件规避清静检测。。。手艺层面，，，，，该木马展现出高度�？？？？？榛墓セ魈卣鳎褐葱泻蟛坏匀∮没局ぃ�，，，，还会扫描比特币钱包路径并与攻击者控制的contaboserver[.]net子域名建设C&C通讯，，，，，通过频仍替换子域名域名来逃避追踪。。。Forcepoint特殊强调，，，，，攻击者正使用正当托管效劳Contabo的信誉实验犯法，，，，，凸显了网络犯法链条中基础设施滥用的新趋势。。。

https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/

4. Twitter(X)涉嫌内部职员操作导致28亿小我私家资料数据泄露

3月29日，，，，，社交媒体平台X（原Twitter）遭遇史上最大规模用户数据泄露事务，，，，，涉及高达28亿用户信息，，，，，但该公司至今未作官方回应。。。清静社区Breach Forums上，，，，，用户ThinkingOne宣布声明称，，，，，此次泄露源于X公司裁人时代某员工的不满行为，，，，，并提供了包括400GB原始数据的证据。。。此次事务与2023年泄露形成鲜明比照。。。2023年岁件涉及2.09亿用户，，，，，主要袒露电子邮件、用户名等果真信息，，，，，X公司其时以"无敏感数据"为由淡化影响。。。而2025年泄露虽不含电子邮件，，，，，却包括用户ID、账户建设日期、地理位置、推文历史等动态元数据，，，，，实质构建了用户行为的全维度画像。。。值得注重的是，，，，，ThinkingOne将两次泄露数据合并天生34GB数据集，，，，，导致公众误判2025年泄露包括邮件信息。。。现实上，，，，，邮件数据仅来自2023年岁件。。。这种混淆操作放大了事务影响，，，，，引发对数据完整性的质疑。。。关于28亿用户的异常数字，，，，，清静专家指出可能保存多重统计误差：包括已删除账户、机械人账号、API效劳账号等非真适用户实体，，，，，或是历史数据叠加导致重复计数。。。别的，，，，，ThinkingOne的数据泉源仍存疑，，，，，其身份更偏向数据剖析师而非古板黑客，，，，，其获取途径可能涉及内部泄密或重大的数据聚合。。。

https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/

5. 山姆会员店视察Clop勒索软件，，，，，零日误差威胁数据清静

3月28日，，，，，沃尔玛旗下仓储零售巨头山姆会员市肆（Sam's Club）正面临Clop勒索软件团伙的入侵指控，，，，，该组织已在其暗网泄密平台宣布相关条目。。。作为全美拥有600余家门店、外洋笼罩中墨两国的仓储连锁企业，，，，，山姆拥有230万员工及843亿美元年营业额，，，，，其信息资产价值使其成为网络犯法的高价值目的。。。山姆讲话人证实已启动清静事务视察，，，，，强调"客户数据清静是主要关切"。。。只管企业未披露手艺细节，，，，，但Clop团伙的指控模式显示其习用零日误差实验供应链攻击——今年头该团伙已使用Cleo文件传输软件的未披露误差（CVE-2024-50623）实验大规模数据窃�。。。�，，，，导致西部同盟银行等4000余家机构中招。。。值得关注的是，，，，，Clop此次攻击与去年针对Accellion FTA等文件传输系统的零日误差使用如出一辙，，，，，反应出其对要害基础设施的精准攻击战略。。。而山姆并非首次遭遇清静�；；；；；；；�2020年曾爆发凭证填充攻击，，，，，迫使企业重置数万客户密码，，，，，其时公司强调系外部垂纶活动所致而非系统被突破。。。目今视察焦点在于确认Clop是否乐成渗透山姆系统，，，，，以及是否使用Cleo误差实验攻击。。。鉴于山姆会员数据包括消耗纪录等敏感信息，，，，，潜在泄露危害可能引发大规模诓骗及合规危害。。。

https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/

6. Morphing Meerkat垂纶即效劳使用DoH与MX纪录规避检测

3月28日，，，，，网络犯法领域近期浮现的"Morphing Meerkat"垂纶即效劳（PhaaS）平台，，，，，展现出高度细密的攻击手艺链。。。该组织自2020年起一连活跃，，，，，通过DNS over HTTPS（DoH）加密协议与DNS邮件交流（MX）纪录盘问构建动态攻击基础设施，，，，，乐陋习避古板清静监测。。。研究显示，，，，，该团伙运营着包括114个品牌仿冒模板的垂纶工具包，，，，，使用iomart和HostPapa的SMTP效劳分发多语言垂纶邮件。。。攻击邮件接纳"账户停用"等紧迫主题，，，，，配合发件人地点伪造手艺，，，，，诱导受害者点击恶意链接。。。后续攻击链经由全心设计的开放重定向路径，，，，，涉及被入侵的WordPress站点、虚伪域名及免费托管效劳，，，，，最终通过Google/Cloudflare的DoH效劳加载垂纶页面。。。手艺突破体现在其双重规避战略：一方面，，，，，DoH加密盘问使DNS流量剖析失效；；；；；；；另一方面，，，，，实时剖析受害者邮箱域的MX纪录，，，，，动态天生与其邮件效劳商匹配的垂纶页面。。。攻击者甚至设置"密码过失"虚伪提醒，，，，，诱骗用户重复提交凭证，，，，，并通过AJAX请求与PHP剧本即时回传数据，，，，，辅以Telegram机械人实现实时数据转发。。。防御剖析指出，，，，，企业应增强DNS层管控，，，，，限制非营业相关的DoH通讯，，，，，阻断与广告手艺、文件共享等高危害基础设施的交互。。。

https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究