Un malware Android nouvellement découvert baptisé Crocodilus incite les utilisateurs à fournir la phrase de départ du portefeuille de crypto-monnaie en utilisant un avertissement pour sauvegarder la clé afin d’éviter de perdre l’accès.
Bien que Crocodilus soit un nouveau malware bancaire, il dispose de capacités entièrement développées pour prendre le contrôle de l’appareil, récolter des données et contrôler à distance.
Les chercheurs de la société de prévention de la fraude Threat Fabric affirment que le malware est distribué via un compte-gouttes propriétaire qui contourne les protections de sécurité Android 13 (et versions ultérieures).
Le compte-gouttes installe le logiciel malveillant sans déclencher Play Protect tout en contournant les restrictions du service d’accessibilité.
Ce qui rend Crocodilus spécial, c’est qu’il intègre l’ingénierie sociale pour que les victimes donnent accès à leur phrase de départ de crypto-portefeuille.
Il y parvient grâce à une superposition d’écran avertissant les utilisateurs de “sauvegarder leur clé de portefeuille dans les paramètres dans les 12 heures” ou de risquer de perdre l’accès à leur portefeuille.
“Cette astuce d’ingénierie sociale guide la victime pour accéder à sa phrase de départ( clé de portefeuille), permettant à Crocodilus de récolter le texte à l’aide de son enregistreur d’accessibilité”, explique ThreatFabric.
« Avec ces informations, les attaquants peuvent prendre le contrôle total du portefeuille et le vider complètement », affirment les chercheurs.
Lors de ses premières opérations, Crocodilus a été observé ciblant des utilisateurs en Turquie et en Espagne, y compris des comptes bancaires de ces deux pays. À en juger par les messages de débogage, il semble que le malware soit d’origine turque.
On ne sait pas comment l’infection initiale se produit, mais généralement, les victimes sont incitées à télécharger des compte-gouttes via des sites malveillants, de fausses promotions sur les réseaux sociaux ou par SMS et des boutiques d’applications tierces.
Une fois lancé, Crocodilus accède au service d’accessibilité, normalement réservé aux personnes handicapées, pour déverrouiller l’accès au contenu de l’écran, effectuer des gestes de navigation et surveiller les lancements d’applications.
Lorsque la victime ouvre une application bancaire ou de crypto-monnaie ciblée, Crocodilus charge une fausse superposition au-dessus de l’application réelle pour intercepter les informations d’identification du compte de la victime.
Le composant bot du logiciel malveillant prend en charge un ensemble de commandes 23 qu’il peut exécuter sur l’appareil, notamment:
- Activer le renvoi d’appel
- Lancer une application spécifique
- Publier une notification push
- Envoyer des SMS à tous les contacts ou à un numéro spécifié
- Recevez des SMS
- Demander des privilèges d’administrateur de périphérique
- Activer une superposition noire
- Activer / désactiver le son
- Écran de verrouillage
- Se faire le gestionnaire de SMS par défaut
Le malware offre également une fonctionnalité de cheval de Troie d’accès à distance (RAT), qui permet à ses opérateurs d’appuyer sur l’écran, de naviguer dans l’interface utilisateur, d’effectuer des gestes de balayage, etc.
Il existe également une commande RAT dédiée pour prendre une capture d’écran de l’application Google Authenticator et capturer les codes de mot de passe à usage unique utilisés pour la protection des comptes d’authentification à deux facteurs.
Lors de l’exécution de ces actions, les opérateurs Crocodilus peuvent activer une superposition d’écran noir et couper le son de l’appareil pour masquer l’activité de la victime et lui donner l’impression que l’appareil est verrouillé.
Bien que Crocodilus semble avoir un ciblage spécifique limité à l’Espagne et à la Turquie pour le moment, le malware pourrait bientôt étendre ses opérations, ajoutant plus d’applications à sa liste de cibles.
Il est conseillé aux utilisateurs d’Android d’éviter de télécharger des APK depuis l’extérieur de Google Play et de s’assurer que Play Protect est toujours actif sur leurs appareils.