最新版本的 "Crocodilus" 安卓恶意软件引入了一种新机制，该机制会在受感染设备的联系人列表中添加一个虚假联系人，以便在收到威胁者的电话时利用虚假联系人欺骗受害者。该功能与其他几个功能一起推出，主要是针对规避的改进，该恶意软件似乎已将其目标范围扩展到全球。

Crocodilus 触角涉及全球

Threat Fabric 研究人员在 2025 年 3 月底首次记录了该恶意软件，并强调了其广泛的数据盗窃和远程控制能力。这些早期版本还通过伪造错误信息，要求用户在 12 小时内 " 备份 " 加密货币钱包密钥，否则将无法访问它，从而进行了基本的社交工程尝试。当时，Crocodilus 只在土耳其的一些小规模活动中出现过。

根据 Threat Fabric 的说法，这种情况现在已经改变了，该公司继续监控恶意软件的运行，并观察到 Crocodilus 已将其目标范围扩大到所有大洲。

同时，最新的发布版本在滴管组件中引入了更好的代码打包以提高逃避检测的能力，并且为有效负载增加了额外的 XOR 加密层。

分析人员还发现，代码复杂化和纠缠现象使得恶意软件的逆向工程更加困难。另一个附加功能是一个系统，可以在受感染设备上本地解析被盗数据，然后将其泄露给威胁者以获得更高质量的数据收集。

虚假联系人

最新的 Crocodilus 恶意软件版本的一个显著特点是能够在受害者的设备上添加虚假联系人。这样做将导致设备在接到来电时显示来电者联系人配置文件中列出的姓名，而不是来电者的 ID。这可能使威胁者可以冒充受信任的银行、公司，甚至朋友和家人，使电话看起来更可信。

此操作在发出特定命令时执行，该命令触发以下代码以编程方式（使用 ContentProvider API）在 Android 设备上创建新的本地联系人。

JS 代码段在设备上创建一个新联系人

" 在收到命令 "TRU9MMRHBCRO" 后，Crocodilus 会将指定联系人添加到受害者的联系人列表中，"Threat Fabric 在报告中解释道。

这进一步增加了攻击者对设备的控制。威胁分子的意图是在一个令人信服的名字下添加一个电话号码，比如‘银行支持’，这样攻击者就可以在看起来合法的情况下给受害者打电话。恶意联系人不绑定用户的谷歌帐户，因此它不会与用户登录的其他设备同步。

Crocodilus 进化得很快，它与社会工程有密切关系，这使它成为一种特别危险的恶意软件。安全研究人员建议 Android 用户在为他们的设备下载软件时坚持使用谷歌 Play 或信任的发行商，确保 Play Protect 始终处于激活状态，并将他们使用的应用数量减少到绝对必要的程度。