Un rapport récent de la société de cybersécurité Threat Fabric a dévoilé une nouvelle souche de malware mobile connue sous le nom de « Crocodilus », qui représente une menace significative pour les utilisateurs d'Android en utilisant de fausses superpositions pour obtenir des phrases-seed sensibles de cryptomonnaie. Ce malware peut prendre le contrôle de l'appareil d'un utilisateur et potentiellement vider entièrement leurs portefeuilles crypto.
Les analystes de Threat Fabric ont détaillé dans leur rapport du 28 mars que Crocodilus trompe les utilisateurs à travers une superposition d'écran qui les incite à sauvegarder leurs clés de portefeuille crypto avant un délai spécifié. Si l'utilisateur fournit son mot de passe, la superposition présente un avertissement grave : « Sauvegardez votre clé de portefeuille dans les paramètres dans les 12 heures.
Sinon, l'application sera réinitialisée, et vous pourriez perdre l'accès à votre portefeuille. » Cette tactique d'ingénierie sociale dirige les utilisateurs vers leur clé de phrase-seed, permettant au malware de capturer l'information cruciale grâce à son journaliseur d'accessibilité.
Une fois la phrase-seed obtenue, les attaquants peuvent prendre le contrôle total du portefeuille. Bien que récemment découvert, Crocodilus montre des fonctionnalités avancées typiques des malwares bancaires modernes, telles que les attaques de superposition, la récolte sophistiquée de données via des captures d'écran et le contrôle à distance des appareils.
Threat Fabric note que l'infection initiale se produit généralement lorsque les utilisateurs téléchargent par inadvertance le malware camouflé avec d'autres logiciels, contournant efficacement les protections de sécurité d'Android 13.
Une fois installé, Crocodilus incite les utilisateurs à activer les services d'accessibilité, ce qui facilite l'accès des hackers. Après avoir obtenu l'accès, le malware établit une connexion avec un serveur de commande et de contrôle pour recevoir des instructions, y compris une liste d'applications cibles et leurs superpositions respectives.
Crocodilus fonctionne en continu, surveillant l'activité des applications et déployant des superpositions pour intercepter les identifiants des utilisateurs. Lorsqu'une application bancaire ou de cryptomonnaie ciblée est ouverte, la fausse superposition dissimule l'activité légitime, permettant aux pirates de prendre le contrôle et de couper le son pendant leur opération.
Avec les informations personnelles et les identifiants volés, les attaquants peuvent effectuer des transactions frauduleuses à distance sans être détectés.
L'équipe Mobile Threat Intelligence de Threat Fabric a identifié que le malware cible actuellement les utilisateurs en Turquie et en Espagne, avec des attentes de diffusion plus large dans le futur. L'enquête suggère que les développeurs pourraient parler turc, étant donné les annotations de code, et pourraient être un acteur de menace connu sous le nom de Sybra ou un autre hacker expérimentant un nouveau logiciel.
L'émergence du cheval de Troie bancaire mobile Crocodilus met en lumière un saut important dans la complexité et le niveau de risque des malwares contemporains. Ses capacités de prise de contrôle d'appareil, de contrôle à distance et d'application d'attaques de superposition noire indiquent un niveau de maturité rarement vu dans les menaces nouvellement découvertes, conclut Threat Fabric.