Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Cheval de Troie bancaire Crocodilus

Cheval de Troie bancaire Crocodilus

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :
Français

Des experts en cybersécurité ont découvert un nouveau malware bancaire Android appelé Crocodilus, qui cible principalement les utilisateurs en Espagne et en Turquie. Contrairement à de nombreuses menaces émergentes qui débutent par des versions rudimentaires de malwares existants, Crocodilus s'introduit dans le paysage de la cybercriminalité sous la forme d'un cheval de Troie bancaire sophistiqué et pleinement développé.

Techniques avancées pour un maximum de dégâts

Crocodilus utilise des techniques modernes telles que :

  • Capacités de contrôle à distance
  • Des superpositions d'écran noir pour masquer sa présence
  • Collecte avancée de données grâce à la journalisation de l'accessibilité

Comme d'autres chevaux de Troie bancaires, il vise à prendre le contrôle d'un appareil (DTO) et à permettre aux cybercriminels d'effectuer des transactions frauduleuses. Une analyse plus approfondie de son code source et de ses messages de débogage suggère que l'auteur du malware est turcophone.

Déguisé en Google Chrome pour échapper à la détection

Crocodilus est conçu pour contourner les restrictions de sécurité d'Android 13+ en se faisant passer pour Google Chrome (nom du package : « quizzical.washbowl.calamity »). Une fois installée, la fausse application demande des autorisations au service d'accessibilité, ce qui lui confère un contrôle total sur l'appareil.

Lors de l'activation, il se connecte à un serveur de commande et de contrôle (C2) distant pour :

  • Recevoir des instructions supplémentaires
  • Récupérer la liste des applications financières ciblées
  • Déployer des superpositions HTML pour voler les informations d'identification des utilisateurs

Les portefeuilles de cryptomonnaies dans le collimateur

Crocodilus ne s'attaque pas uniquement aux applications bancaires : il cible également les portefeuilles de cryptomonnaies. Au lieu d'utiliser une fausse page de connexion, il piège ses victimes avec une alerte de sauvegarde frauduleuse, les avertissant qu'elles doivent sauvegarder leur phrase de sauvegarde dans les 12 heures, sous peine de perdre leurs actifs.

Cette tactique d'ingénierie sociale manipule les victimes pour les amener à accéder à leurs phrases clés, qui sont ensuite récupérées via un abus de service d'accessibilité. Grâce à ces informations, les attaquants peuvent prendre le contrôle du portefeuille et drainer ses fonds.

Surveillance continue et vol d’identifiants

Crocodilus est conçu pour fonctionner en arrière-plan, surveillant de près le lancement des applications et déclenchant des overlays pour intercepter les identifiants. Il peut :

  • Surveiller tous les événements d'accessibilité
  • Capturez tous les éléments affichés à l'écran
  • Prenez des captures d'écran de Google Authenticator pour contourner l'authentification à deux facteurs

Ce faisant, Crocodilus garantit que ses opérateurs ne remarquent aucune activité de connexion.

Mode furtif : masquer les activités nuisibles

Pour rester indétectable, Crocodilus emploie diverses tactiques furtives, notamment :

  • Affichage d'un écran noir pour masquer les activités non autorisées
  • Couper les sons pour empêcher les victimes d'entendre des alertes suspectes

Ces mesures rendent beaucoup plus difficile pour les victimes de se rendre compte que leurs appareils ont été compromis.

Un puissant arsenal de fonctionnalités dommageables

Crocodilus est doté de fonctionnalités menaçantes lui permettant de prendre le contrôle total d'un appareil infecté. Il peut lancer des applications spécifiques, se désinstaller de l'appareil pour éviter d'être détecté et envoyer des notifications push pour manipuler le comportement de l'utilisateur. Ce malware peut également envoyer des SMS à certains contacts ou à tous, récupérer des listes de contacts et une liste des applications installées, offrant ainsi aux attaquants une vue complète de l'empreinte numérique de la victime.

De plus, Crocodilus peut lire les SMS, demander des privilèges d'administrateur pour un contrôle plus approfondi et activer un mode de superposition noir pour masquer ses activités dangereuses. Il met régulièrement à jour les paramètres de son serveur de commande et de contrôle (C2), lui permettant ainsi de s'adapter et de répondre aux nouvelles instructions de ses opérateurs. Pour optimiser ses opérations furtives, il peut activer ou désactiver le son, activer l'enregistrement des frappes pour capturer les saisies utilisateur et même se définir comme gestionnaire SMS par défaut, lui permettant ainsi d'intercepter et de manipuler les communications sans être détecté.

Crocodilus : une nouvelle menace pour les services bancaires mobiles

L'émergence de Crocodilus marque une escalade dangereuse dans la sophistication des logiciels malveillants utilisés dans les services bancaires mobiles. Contrairement à de nombreuses menaces récemment découvertes, Crocodilus est mature dès le départ, exploitant des techniques avancées de prise de contrôle d'appareils, des fonctions de contrôle à distance et des attaques par superposition noire pour compromettre les utilisateurs.

Avec son exécution furtive et son ensemble de fonctionnalités robustes, ce malware établit un nouveau précédent pour les menaces bancaires Android, prouvant que les cybercriminels améliorent constamment leurs tactiques pour garder une longueur d'avance sur les mesures de sécurité.

 

Tendance

Le plus regardé

Chargement...