Threat Fabric, une entreprise de cybersécurité spécialisée dans la prévention de la fraude, a identifié une nouvelle souche de logiciels malveillants mobiles appelés Crocodilus, conçus pour infiltrer les appareils Android et voler des données d’utilisateurs sensibles. Contrairement aux logiciels malveillants de base, Crocodilus utilise des attaques de superposition pour inciter les utilisateurs à divulguer leurs phrases de graines cryptographiques, leurs informations d’identification bancaires et OTPS.

Une fois que les logiciels malveillants ont pris le contrôle d’un appareil, il peut exécuter des transactions frauduleuses tout en restant non détecté. Analyse du tissu de menace révèle que Crocodilus n’est pas seulement une autre variante de logiciels malveillants, mais un cheval de Troie bancaire entièrement développé.

Exposer des phrases de graines de crypto

L’une des capacités les plus alarmantes de Crocodilus est sa capacité à voler portefeuille de crypto-monnaie phrases de semences par l’ingénierie sociale. Lorsqu’une victime entre dans leur broche de portefeuille, le malware affiche un faux message d’avertissement, indiquant «Sauvegardez votre clé de portefeuille dans les paramètres dans les 12 heures. Sinon, l’application sera réinitialisée et vous pourriez perdre l’accès à votre portefeuille.»

Cette invite fait pression sur la victime de naviguer vers leurs paramètres de phrase de semence, l’exposant sans le savoir aux logiciels malveillants. En utilisant son enregistreur d’accessibilité, Crocodilus récolte et transmet la phrase de graines aux cybercriminels, leur accordant un contrôle total sur le portefeuille. Avec ces informations critiques en main, les attaquants peuvent complètement vider les actifs de la victime, ne laissant aucune possibilité de récupération. Cette tactique de manipulation efficace fait de Crocodilus une menace particulièrement grave pour les détenteurs de crypto-monnaie, car il cible l’élément de sécurité le plus vital de n’importe quel portefeuille, la phrase de graines.

Comment Crocodilus fonctionne

Crocodilus est installé à l’aide d’un compte-gouttes propriétaire, ce qui l’aide à contourner les restrictions de sécurité Android 13+. Une fois à l’intérieur d’un appareil, Crocodilus demande immédiatement les autorisations de service d’accessibilité, en accordant un contrôle de son contrôle sur les fonctions du système. Le malware établit ensuite une connexion avec son serveur de commande et de contrôle (C2), qui fournit une liste des applications bancaires ciblées et de crypto-monnaie ainsi que les superpositions utilisées pour tromper les utilisateurs. «Il s’exécute en continu, surveillant les lancements d’applications et affichant des superpositions pour intercepter les informations d’identification», a déclaré le tissu de menace.

L’une de ses principales stratégies d’attaque implique des attaques de superposition, où elle affiche de faux écrans de connexion qui sont visuellement identiques aux interfaces bancaires légitimes et de portefeuille de crypto-monnaie. Cela permet aux cybercriminels de voler des références bancaires, portefeuille de crypto-monnaie Épingles, clés privées et mots de passe ponctuels (OTP) utilisés pour l’authentification multi-facteurs. Les premières campagnes observées par les utilisateurs ciblés par le tissu ciblé en Espagne et en Turquie, mais les experts prédisent l’expansion globale à mesure que les logiciels malveillants évoluent.

Crocodilus fonctionne également comme un Keylogger, mais plutôt que de simplement capturer des frappes, il fonctionne comme un enregistreur d’accessibilité, en suivant toutes les activités à l’écran et en capturant des éléments d’interface utilisateur à partir d’applications bancaires et d’authentification. Cela permet aux criminels de contourner les protections de l’AMF sans avoir besoin d’accès physique à l’appareil de la victime. Le tissu de menace a en outre souligné que Crocodilus mue également le son sur les appareils infectés, garantissant que les transactions frauduleuses restent complètement non détectées par la victime.

Notamment, Crocodilus partage des similitudes avec Stilachirat, un cheval de Troie à distance (rat) récemment identifié par l’équipe de réponse de Microsoft. Comme indiqué plus tôt ce mois-ci par CNFStilachirat cible également les extensions de portefeuille de crypto-monnaie, accédant aux paramètres clés du registre de Windows pour détecter leur présence et potentiellement compromettre les actifs numériques des utilisateurs, mettant en évidence une tendance croissante dans les logiciels malveillants ciblant l’infrastructure liée à la cryptographie.