- Un nouveau logiciel malveillant Android nommé Crocodilus a fait son apparition, constituant une menace pour les utilisateurs de cryptomonnaies. Il emploie des techniques pour voler des phrases de semence.
- Crocodilus est une cybermenace entièrement développée. Elle est équipée de superpositions d’écrans noirs et d’une collecte de données avancée par le biais de l’enregistrement de l’accessibilité.
Threat Fabric, une société de cybersécurité spécialisée dans la prévention des fraudes, a identifié une nouvelle souche de logiciels malveillants mobiles appelée Crocodilus. Il a été conçu pour infiltrer les appareils Android et voler les données sensibles des utilisateurs. Contrairement aux logiciels malveillants de base, Crocodilus utilise des attaques superposées pour inciter les utilisateurs à divulguer leurs phrases d’amorçage cryptographiques. Il les incite aussi à partager leurs identifiants bancaires et leurs OTP.
Une fois que le logiciel malveillant a pris le contrôle d’un appareil, il peut exécuter des transactions frauduleuses sans être détecté. L’analyse de Threat Fabric révèle que Crocodilus n’est pas une simple variante de logiciel malveillant, mais un cheval de Troie bancaire entièrement développé.
Exposer les phrases d’amorçage de cryptos
L’une des capacités les plus alarmantes de Crocodilus est son aptitude à voler les phrases d’amorçage des portefeuilles de crypto-monnaie par le biais de l’ingénierie sociale. Lorsqu’une victime saisit le code PIN de son portefeuille, le logiciel malveillant affiche un faux message d’avertissement indiquant : « Sauvegardez votre clé de portefeuille dans les paramètres dans les 12 heures. Sinon, l’application sera réinitialisée et vous risquez de perdre l’accès à votre portefeuille. »
Ce message incite la victime à se rendre dans les paramètres de sa phrase de semence, l’exposant ainsi à son insu au logiciel malveillant. À l’aide de son enregistreur d’accessibilité, Crocodilus recueille et transmet la phrase-clé aux cybercriminels, leur donnant ainsi le contrôle total du portefeuille. Avec cette information critique en main, les attaquants peuvent complètement vider les actifs de la victime, ne laissant aucune possibilité de récupération. Cette tactique de manipulation efficace fait de Crocodilus une menace particulièrement grave pour les détenteurs de crypto-monnaies. En fait, il cible l’élément de sécurité le plus vital de tout portefeuille, à savoir la seed phrase.
Comment fonctionne Crocodilus
Crocodilus est installé à l’aide d’un dropper propriétaire qui lui permet de contourner les restrictions de sécurité d’Android 13. Une fois à l’intérieur de l’appareil, Crocodilus demande immédiatement les autorisations du service d’accessibilité. Ce qui lui permet de contrôler les fonctions du système. Le logiciel malveillant établit ensuite une connexion avec son serveur de commande et de contrôle (C2). Ce dernier fournit ensuite une liste d’applications bancaires et de crypto-monnaies ciblées ainsi que les superpositions utilisées pour tromper les utilisateurs. « Il fonctionne en continu, surveillant les lancements d’applications et affichant des superpositions pour intercepter les informations d’identification », a déclaré Threat Fabric.
L’une de ses principales stratégies d’attaque consiste à afficher de faux écrans de connexion qui sont visuellement identiques aux interfaces légitimes des banques et des portefeuilles de cryptomonnaies. Cela permet aux cybercriminels de voler les identifiants bancaires, les codes PIN des portefeuilles de crypto, les clés privées et les mots de passe à usage unique (OTP) utilisés pour l’authentification multifactorielle. Les premières campagnes observées par Threat Fabric ont ciblé des utilisateurs en Espagne et en Turquie, mais les experts prévoient une expansion mondiale à mesure que le malware évolue.
Crocodilus fonctionne également comme un enregistreur de frappe. Mais, il ne se contente pas de capturer les frappes au clavier, il fonctionne comme un enregistreur d’accessibilité. Il suit toutes les activités à l’écran et en capturant les éléments de l’interface utilisateur des applications bancaires et d’authentification. Cela permet aux criminels de contourner les protections MFA sans avoir besoin d’un accès physique à l’appareil de la victime. Threat Fabric a également souligné que Crocodilus coupe également le son sur les appareils infectés, ce qui garantit que les transactions frauduleuses ne sont pas du tout détectées par la victime.
Crocodilus présente notamment des similitudes avec StilachiRAT, un cheval de Troie d’accès à distance (RAT) récemment identifié par l’équipe de réponse de Microsoft. Début mars, la FCEN a révélé que StilachiRAT s’attaque aussi aux extensions de portefeuilles crypto. Ce malware explore les clés de registre Windows pour les détecter et potentiellement compromettre les actifs numériques des utilisateurs. Une menace qui illustre la montée en puissance des logiciels malveillants ciblant l’infrastructure crypto.
