2025-03-31 02:22:00
Découverte d’un Nouveau Malware Mobile : Crocodilus
Une société spécialisée dans la cybersécurité, Threat Fabric, a révélé l’existence d’un malware mobile, dénommé Crocodilus, capable de compromettre les dispositifs Android. Ce logiciel malveillant est conçu pour superposer de fausses alertes sur des applications spécifiques, incitant ainsi les utilisateurs à fournir leurs phrases de récupération de crypto-monnaies tout en prenant le contrôle de leur appareil.
Fonctionnement du Malware Crocodilus
Selon un rapport publié le 28 mars, le malware Crocodilus avertit les victimes qu’elles doivent sauvegarder leur clé de portefeuille crypto avant une échéance précise, sous peine de perdre l’accès à leurs fonds. Ce mécanisme de manipulation psychologique amène l’utilisateur à naviguer vers la section de leur phrase de récupération, permettant ainsi au malware de collecter ce texte par le biais d’un enregistreur d’accessibilité intégré.
Détails Techniques et Méthode d’Infection
Threat Fabric explique que ce malware, bien que récent, possède des caractéristiques similaires aux logiciels malveillants bancaires modernes. Les attaquants peuvent utiliser des techniques d’intrusion avancées, telles que des captures d’écran de données sensibles, ainsi qu’un accès à distance aux dispositifs infectés.
L’infection initiale se produit généralement lors du téléchargement inattendu du malware via des programmes tiers. Crocodilus parvient à contourner les protections d’Android 13 et d’autres mesures de sécurité. Une fois installé, le logiciel demande l’activation du service d’accessibilité, ce qui facilite l’accès des hackers au dispositif de la victime.
Interaction avec les Applications Ciblées
Une fois que l’accès a été accordé, le malware se connecte à un serveur de commande et contrôle (C2) pour recevoir des directives, y compris des listes d’applications ciblées ainsi que les superpositions à afficher. Le malware fonctionne en continu, surveillant le lancement d’applications et lançant des superpositions pour intercepter les informations d’identification. Lorsqu’une application bancaire ou de crypto-monnaies ciblée est ouverte, Crocodilus affiche sa superposition factice tout en coupant le son pour permettre aux hackers de contrôler le dispositif.
Impacts et Portée du Malware
Threat Fabric indique que les acteurs de la menace, une fois en possession de la phrase de récupération, peuvent récupérer totalement le portefeuille et en vider le contenu. Leurs analyses montrent que, bien que ce malware semble viser principalement des utilisateurs en Turquie et en Espagne, son usage pourrait rapidement s’étendre à d’autres régions au fil du temps.
Les enquêteurs suggèrent également que les développeurs du malware pourraient être de langue turque, en se basant sur certaines notes trouvées dans le code. Cela soulève des questions sur l’identité et les motivations des personnes derrière cette menace.
La Sophistication de Crocodilus
L’essor de Crocodilus représente un tournant dans l’évolution des menaces informatiques. Avec ses capacités avancées de prise de contrôle d’appareil et ses capacités de contrôle à distance, ce malware fait preuve d’un niveau de sophistication généralement absent dans des menaces récemment découvertes. Les experts de Threat Fabric soulignent que l’utilisation de techniques de superposition dès les premières itérations de Crocodilus témoigne d’une maturité remarquable pour un malware de cette nature.