新型Crocodilus恶意软件窃取Android用户加密钱包密钥

首页 > 清静研究 > 清静转达 > 清静简讯

新型Crocodilus恶意软件窃取Android用户加密钱包密钥

宣布时间 2025-03-31

1. 新型Crocodilus恶意软件窃取Android用户加密钱包密钥

3月30日，，，，，新发明的Android银行恶意软件"Crocodilus"通过整合社会工程学攻击与高级渗透手艺，，，，，展现出对加密钱币钱包及金融账户的严重威胁。。。。该恶意软件使用专有植入器绕过Android 13及以上版本的清静机制，，，，，通过恶意网站、社交诓骗或第三方应用市肆实验初始熏染。。。。其攻击链的焦点在于诱导用户泄露加密钱包的"种子短语"，，，，，攻击者通过伪造系统忠言界面，，，，，鞭策用户在12小时内备份钱包密钥，，，，，实则使用辅助功效效劳纪任命户输入信息，，，，，进而完全控制数字资产。。。。手艺剖析显示，，，，，Crocodilus具备完整的RAT（远程会见木马）功效，，，，，可实验23项装备控制指令，，，，，包括阻挡短信、改动认证器截图窃取双因素令牌、笼罩屏幕界面偷取银行凭证等。。。。其特殊能力在于激活黑屏静默模式隐藏攻击行为，，，，，同时滥用辅助功效效劳突破无障碍权限限制。。。。目今攻击目的集中于土耳其和西班牙的金融用户，，，，，但�？？？？？？榛杓铺逑制渚弑缚焖倮┱构セ髅娴那绷�。。。。清静专家建议用户应严酷遵照官方应用市肆下载原则，，，，，坚持Play Protect实时防护，，，，，并对要求提供敏感信息的异常系统提醒坚持小心。。。。

https://www.bleepingcomputer.com/news/security/new-crocodilus-malware-steals-android-users-crypto-wallet-keys/

2. Oracle Health旧效劳器遭入侵致美多家医院患者数据泄露

3月28日，，，，，着名医疗信息化效劳商Oracle Health（前身为Cerner）确认其遗留效劳器遭未授权会见，，，，，导致多家美国医疗机构患者数据泄露。。。。据视察，，，，，攻击者使用泄露的客户凭证于2025年1月入侵未迁徙至Oracle Cloud的旧版Cerner效劳器，，，，，窃取了可能包括电子康健纪录（EHR）的敏感信息。。。。只管Oracle在私密通知中仅表述为"部分数据受影响"，，，，，但多个新闻源证实患者信息确已被盗。。。。此次事务袒露Oracle在�；；；；；；；χ贸头Ｖ械耐该鞫热狈Γ菏苡跋煲皆菏盏降耐ㄖ幽赏ㄋ装字蕉枪俜叫偶悖�，，，，且公司未果真认可清静违规。。。。更引发关注的是，，，，，威胁行为者"安德鲁"通过明网网站实验勒索，，，，，要求数百万美元加密钱币以阻止数据果真，，，，，其攻击手法与已知勒索团伙无关联。。。。医疗机构被迫自行评估是否违反HIPAA规则并承�；；；；；；；颊咄ㄖ鹑危�，，，，而Oracle仅提供有限协助模板和用度赔偿。。。。手艺细节显示，，，，，攻击者将偷取数据转移至远程效劳器，，，，，其作案手法与近期Oracle Cloud联合单点登录（SSO）效劳器遭入侵事务保存潜在关联。。。。此前威胁者曾宣称窃取600万条LDAP认证数据，，，，，只管Oracle官方否定，，，，，但客户验证样本证实数据有用性。。。。清静专家指出，，，，，Oracle在处置惩罚两起事务中的信息关闭战略，，，，，可能加剧医疗客户在合规应对和患者信任重修中的逆境。。。。

https://www.bleepingcomputer.com/news/security/oracle-health-breach-compromises-patient-data-at-us-hospitals/

3. Grandoreiro木马再发全球垂纶攻击，，，，，伪装税务窃取金融数据

3月28日，，，，，网络清静公司Forcepoint近期宣布的威胁情报显示，，，，，恒久活跃的Grandoreiro银行木马正通过新型网络垂纶攻势对全球金融系统组成严重威胁。。。。该恶意软件自2016年首次现身巴西后，，，，，逐步将攻击规模扩展至墨西哥、葡萄牙、西班牙等拉美及欧洲国家，，，，，并在2024年进一步将目的锁定亚洲金融机构，，，，，形成笼罩1700家银行及276个加密钱包的全球攻击网络。。。。值得关注的是，，，，，Grandoreiro接纳"恶意软件即效劳"（MaaS）商业模式运营，，，，，其背后的Tetrade犯法集团即便在2021年与2024年多次执法攻击中成员遭捕，，，，，仍一连更新攻击手法。。。。最新攻击活动使用OVHcloud基础设施伪装税务�？？？？？？钔ㄖ�，，，，通过Mediafire平台分发的PDF文档加载恶意载荷，，，，，受害者收到的混淆型Visual Basic剧本与虚伪Delphi可执行文件，，，，，可窃取账户凭证并通过加密压缩文件规避清静检测。。。。手艺层面，，，，，该木马展现出高度�？？？？？？榛墓セ魈卣鳎褐葱泻蟛坏匀∮没局ぃ�，，，，还会扫描比特币钱包路径并与攻击者控制的contaboserver[.]net子域名建设C&C通讯，，，，，通过频仍替换子域名域名来逃避追踪。。。。Forcepoint特殊强调，，，，，攻击者正使用正当托管效劳Contabo的信誉实验犯法，，，，，凸显了网络犯法链条中基础设施滥用的新趋势。。。。

https://www.securityweek.com/fresh-grandoreiro-banking-trojan-campaigns-target-latin-america-europe/

4. Twitter(X)涉嫌内部职员操作导致28亿小我私家资料数据泄露

3月29日，，，，，社交媒体平台X（原Twitter）遭遇史上最大规模用户数据泄露事务，，，，，涉及高达28亿用户信息，，，，，但该公司至今未作官方回应。。。。清静社区Breach Forums上，，，，，用户ThinkingOne宣布声明称，，，，，此次泄露源于X公司裁人时代某员工的不满行为，，，，，并提供了包括400GB原始数据的证据。。。。此次事务与2023年泄露形成鲜明比照。。。。2023年岁件涉及2.09亿用户，，，，，主要袒露电子邮件、用户名等果真信息，，，，，X公司其时以"无敏感数据"为由淡化影响。。。。而2025年泄露虽不含电子邮件，，，，，却包括用户ID、账户建设日期、地理位置、推文历史等动态元数据，，，，，实质构建了用户行为的全维度画像。。。。值得注重的是，，，，，ThinkingOne将两次泄露数据合并天生34GB数据集，，，，，导致公众误判2025年泄露包括邮件信息。。。。现实上，，，，，邮件数据仅来自2023年岁件。。。。这种混淆操作放大了事务影响，，，，，引发对数据完整性的质疑。。。。关于28亿用户的异常数字，，，，，清静专家指出可能保存多重统计误差：包括已删除账户、机械人账号、API效劳账号等非真适用户实体，，，，，或是历史数据叠加导致重复计数。。。。别的，，，，，ThinkingOne的数据泉源仍存疑，，，，，其身份更偏向数据剖析师而非古板黑客，，，，，其获取途径可能涉及内部泄密或重大的数据聚合。。。。

https://hackread.com/twitter-x-of-2-8-billion-data-leak-an-insider-job/

5. 山姆会员店视察Clop勒索软件，，，，，零日误差威胁数据清静

3月28日，，，，，沃尔玛旗下仓储零售巨头山姆会员市肆（Sam's Club）正面临Clop勒索软件团伙的入侵指控，，，，，该组织已在其暗网泄密平台宣布相关条目。。。。作为全美拥有600余家门店、外洋笼罩中墨两国的仓储连锁企业，，，，，山姆拥有230万员工及843亿美元年营业额，，，，，其信息资产价值使其成为网络犯法的高价值目的。。。。山姆讲话人证实已启动清静事务视察，，，，，强调"客户数据清静是主要关切"。。。。只管企业未披露手艺细节，，，，，但Clop团伙的指控模式显示其习用零日误差实验供应链攻击——今年头该团伙已使用Cleo文件传输软件的未披露误差（CVE-2024-50623）实验大规模数据窃�。。。。�，，，，导致西部同盟银行等4000余家机构中招。。。。值得关注的是，，，，，Clop此次攻击与去年针对Accellion FTA等文件传输系统的零日误差使用如出一辙，，，，，反应出其对要害基础设施的精准攻击战略。。。。而山姆并非首次遭遇清静�；；；；；；；�2020年曾爆发凭证填充攻击，，，，，迫使企业重置数万客户密码，，，，，其时公司强调系外部垂纶活动所致而非系统被突破。。。。目今视察焦点在于确认Clop是否乐成渗透山姆系统，，，，，以及是否使用Cleo误差实验攻击。。。。鉴于山姆会员数据包括消耗纪录等敏感信息，，，，，潜在泄露危害可能引发大规模诓骗及合规危害。。。。

https://www.bleepingcomputer.com/news/security/retail-giant-sams-club-investigates-clop-ransomware-breach-claims/

6. Morphing Meerkat垂纶即效劳使用DoH与MX纪录规避检测

3月28日，，，，，网络犯法领域近期浮现的"Morphing Meerkat"垂纶即效劳（PhaaS）平台，，，，，展现出高度细密的攻击手艺链。。。。该组织自2020年起一连活跃，，，，，通过DNS over HTTPS（DoH）加密协议与DNS邮件交流（MX）纪录盘问构建动态攻击基础设施，，，，，乐陋习避古板清静监测。。。。研究显示，，，，，该团伙运营着包括114个品牌仿冒模板的垂纶工具包，，，，，使用iomart和HostPapa的SMTP效劳分发多语言垂纶邮件。。。。攻击邮件接纳"账户停用"等紧迫主题，，，，，配合发件人地点伪造手艺，，，，，诱导受害者点击恶意链接。。。。后续攻击链经由全心设计的开放重定向路径，，，，，涉及被入侵的WordPress站点、虚伪域名及免费托管效劳，，，，，最终通过Google/Cloudflare的DoH效劳加载垂纶页面。。。。手艺突破体现在其双重规避战略：一方面，，，，，DoH加密盘问使DNS流量剖析失效；；；；；；；另一方面，，，，，实时剖析受害者邮箱域的MX纪录，，，，，动态天生与其邮件效劳商匹配的垂纶页面。。。。攻击者甚至设置"密码过失"虚伪提醒，，，，，诱骗用户重复提交凭证，，，，，并通过AJAX请求与PHP剧本即时回传数据，，，，，辅以Telegram机械人实现实时数据转发。。。。防御剖析指出，，，，，企业应增强DNS层管控，，，，，限制非营业相关的DoH通讯，，，，，阻断与广告手艺、文件共享等高危害基础设施的交互。。。。

https://www.bleepingcomputer.com/news/security/phishing-as-a-service-operation-uses-dns-over-https-for-evasion/

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究