29 mars 2025Ravie LakshmananIntelligence de menace / sécurité mobile

Les chercheurs en cybersécurité ont découvert un nouveau malware bancaire Android appelé Crocodile Cela est principalement conçu pour cibler les utilisateurs en Espagne et en Turquie.

“Crocodilus entre dans la scène non pas comme un simple clone, mais comme une menace à part entière dès le départ, équipée de techniques modernes telles que la télécommande, les superpositions d’écran noir et la récolte avancée de données via la journalisation de l’accessibilité”, menacefabric dit.

Comme pour les autres chevaux de Troie bancaires du genre, le malware est conçu pour faciliter la prise de contrôle des appareils (DTO) et, finalement, effectuer des transactions frauduleuses. Une analyse du code source et des messages de débogage révèle que l’auteur malware est turc.

Cybersécurité

Les artefacts Crocodilus analysés par la société de sécurité mobile néerlandaise Masquerade comme Google Chrome (nom du package: “Quizzical.washbowl.calamity”), qui agit comme un compte-gouttes capable de contourner les restrictions Android 13+.

Une fois installé et lancé, l’application demande l’autorisation des services d’accessibilité d’Android, après quoi le contact est établi avec un serveur distant pour recevoir d’autres instructions, la liste des applications financières à cibler et les superpositions HTML à utiliser pour voler des informations d’identification.

Crocodilus est également capable de cibler des portefeuilles de crypto-monnaie avec une superposition qui, au lieu de servir une fausse page de connexion pour capturer les informations de connexion, montre un message alerte exhortant les victimes à sauvegarder leurs phrases de semences dans les 12 ans, ou bien risquer de perdre l’accès à leurs portefeuilles.

Sécurité mobile

Cette astuce d’ingénierie sociale n’est rien d’autre qu’un stratagème de la part des acteurs de la menace pour guider les victimes pour naviguer vers leurs phrases de semences, qui sont ensuite récoltées par l’abus des services d’accessibilité, leur permettant ainsi de prendre le contrôle total des portefeuilles et de vider les actifs.

“Il s’exécute en continu, surveillant les lancements des applications et affichant des superpositions pour intercepter les informations d’identification”, a déclaré ThreatFabric. “Le malware surveille tous les événements d’accessibilité et capture tous les éléments affichés à l’écran.”

Cela permet aux logiciels malveillants de enregistrer toutes les activités effectuées par les victimes à l’écran, ainsi que de déclencher une capture d’écran du contenu de l’application Google Authenticator.

Cybersécurité

Une autre caractéristique de Crocodilus est sa capacité à cacher les actions malveillantes sur l’appareil en affichant une superposition d’écran noir, ainsi que des sons muting, garantissant ainsi qu’ils restent inaperçus par les victimes.

Certaines des fonctionnalités importantes prises en charge par les logiciels malveillants sont répertoriés ci-dessous –

  • Lancez l’application spécifiée
  • Auto-remiez de l’appareil
  • Publier une notification push
  • Envoyer des messages SMS à tous / sélectionner les contacts
  • Récupérer les listes de contacts
  • Obtenez une liste des applications installées
  • Obtenez des messages SMS
  • Demander des privilèges d’administration du périphérique
  • Activer la superposition noire
  • Mettre à jour les paramètres du serveur C2
  • Activer / désactiver le son
  • Activer / désactiver le keylogging
  • Se faire un gestionnaire SMS par défaut

“L’émergence de la banque de banque mobile Crocodilus marque une escalade importante du niveau de sophistication et de menace posée par les logiciels malveillants modernes”, a déclaré ThreatFabric.

“Avec ses capacités avancées de dispositif de dispositif, ses fonctionnalités de télécommande et le déploiement d’attaques de superposition noire de ses premières itérations, Crocodilus démontre un niveau de maturité peu commun dans les menaces nouvellement découvertes.”

Le développement est de ForcePoint divulgué Détails d’une campagne de phishing qui a été trouvée en utilisant des leurres sur le thème de la taxe pour distribuer le cheval de Troie bancaire Grandoreiro ciblant les utilisateurs de Windows au Mexique, en Argentine et en Espagne au moyen d’un script de base visuel obscurci.

Vous avez trouvé cet article intéressant? Suivez-nous Gazouillement et Liendin Pour lire plus de contenu exclusif que nous publions.





ttn-fr-57