3 月 31 日，据 Bleeping Computer 报道，一种名为 Crocodilus 的新型 Android 恶意软件通过社会工程手段诱导用户提供加密钱包的助记词，从而窃取钱包密钥并完全控制受害者资产。

Crocodilus 通过专属的恶意安装程序绕过 Android 13 及以上版本的安全保护机制，能够在不触发 Google Play Protect 和无障碍服务限制的情况下安装自身。其核心攻击方式是通过屏幕覆盖技术伪造警告信息，提示用户需在 12 小时内“备份钱包密钥”，否则将失去访问权限，从而欺骗用户主动暴露助记词。

此外，该恶意软件还具备远程访问木马（RAT）功能，可执行多项设备控制命令，包括获取 SMS、启用呼叫转移、发送通知、锁定屏幕等。首批受害者主要集中在土耳其和西班牙，攻击目标包括银行账户及加密货币应用。研究人员推测，该恶意软件可能源自土耳其。