2025-06-03 13:08:00
Le cheval de Troie Android Crocodilus a intensifié ses efforts en ciblant les utilisateurs de crypto-monnaies et les clients bancaires à travers l’Europe et l’Amérique du Sud. Après avoir été identifié pour la première fois en mars 2025, Crocodilus a initialement concentré ses attaques sur la Turquie, en se faisant passer pour des applications de casino en ligne ou des applications bancaires falsifiées pour dérober des informations d’identification.
Des campagnes récentes montrent que ce malware a étendu son champ d’action et touche désormais des utilisateurs en Pologne, en Espagne, en Argentine, au Brésil, en Indonésie, en Inde et aux États-Unis, comme l’indiquent les nouvelles découvertes de l’équipe Mobile Threat Intelligence (MTI) de ThreatFabric.
Utilisation de la publicité ciblée pour piéger les utilisateurs
Une campagne visant les utilisateurs polonais a utilisé des publicités sur Facebook pour promouvoir de faux programmes de fidélité. Lorsqu’un utilisateur cliquait sur ces annonces, il était redirigé vers des sites malveillants proposant un installateur de Crocodilus capable de contourner les restrictions imposées par Android 13 et les versions ultérieures. Selon les données de transparence de Facebook, ces publicités ont atteint des milliers d’utilisateurs en seulement une à deux heures, ciblant principalement les personnes de plus de 35 ans.
Techniques d’attaques sophistiquées contre les applications financières
Une fois que Crocodilus s’est installé sur un appareil, il superpose de fausses pages de connexion sur des applications bancaires et de crypto-monnaies légitimes. En Espagne, il se fait même passer pour une mise à jour de navigateur, visant presque toutes les grandes banques. En plus de son expansion géographique, Crocodilus a également développé de nouvelles fonctionnalités, telles que la modification des listes de contacts des appareils infectés. Cela permet aux attaquants d’insérer des numéros de téléphone étiquetés « Support bancaire », qui peuvent être utilisés pour des attaques d’ingénierie sociale.
De plus, une amélioration notoire est l’ajout d’un collecteur de phrases secrètes automatisé ciblant les portefeuilles de crypto-monnaies. Le malware Crocodilus est désormais capable d’extraire avec précision les phrases secrètes et les clés privées, fournissant aux attaquants des données pré-processées pour des opérations de prise de contrôle de compte rapides.
Renforcement des défenses et complexité du codage
Les développeurs de Crocodilus ont renforcé la protection de ce malware grâce à une obfuscation plus poussée. La dernière variante présente un code compressé, un cryptage XOR supplémentaire et une logique délibérément compliquée pour rendre l’ingénierie inverse plus difficile. Les analystes de MTI ont également noté des campagnes plus réduites ciblant des applications de minage de crypto-monnaies et des banques numériques européennes, alors que l’intérêt de Crocodilus se concentre de plus en plus sur les cryptomonnaies.
Le rapport a souligné que, tout comme sa version précédente, la nouvelle variante de Crocodilus accorde une attention particulière aux applications de portefeuille de crypto-monnaies, étant équipée d’un parseur supplémentaire pour extraire les phrases secrètes et les clés privées de portefeuilles spécifiques.
Accessibilité croissante des drainages de crypto-monnaies
Un rapport du 22 avril, publié par la société AMLBot spécialisée dans la criminalité et la conformité en matière de crypto, a mis en lumière que les « drainages de crypto », des malwares destinés à subtiliser des crypto-monnaies, sont devenus plus accessibles. Ce phénomène s’inscrit dans un modèle commercial de type logiciel en tant que service, où des malware spreaders peuvent louer un drainer pour une somme comprise entre 100 et 300 USDt.
Le 19 mai, des informations ont révélé que le fabricant d’imprimantes chinois Procolored avait distribué des malwares de vol de Bitcoin via ses pilotes officiels. L’entreprise aurait utilisé des pilotes USB pour diffuser des logiciels infectés et aurait téléchargé ce logiciel compromis sur le cloud pour un accès mondial.