Les chercheurs de ThreatFabric ont identifié un nouveau virus à l’assaut des smartphones Android. Baptisé Crocodilus, le malware est programmé pour piller l’argent de ses victimes, que ce soit sur leur compte bancaire ou sur la blockchain.
En premier lieu, Crocodilus est un malware bancaire. En miroir de virus comme Anatsa, Octo, et Hook, il est conçu pour s’emparer des coordonnées bancaires de ses cibles. Une fois les informations obtenues, les pirates peuvent pénétrer sur le compte en banque de la victime pour réaliser des prélèvements frauduleux.
À lire aussi : ce malware Android a trouvé le moyen de devenir invisible grâce à un outil Microsoft
Le mode opératoire de Crocodilus pour siphonner votre argent
Pour arriver à ses fins, le virus va superposer une fenêtre imitant l’interface de la banque au-dessus de l’application officielle. Persuadé de naviguer sur l’application de sa banque, l’utilisateur va communiquer ses identifiants, sans se douter qu’il plonge tête la première dans le piège des pirates. Crocodilus « fonctionne en continu, surveillant les lancements d’applications et affichant les superpositions pour intercepter les informations d’identification ». Il est aussi capable d’enregistrer tout ce que la victime tape sur son clavier.
De la même manière, le logiciel malveillant piège les utilisateurs pour obtenir les clés privées de ses portefeuilles de cryptomonnaies. Avec celles-ci, le pirate est libre de prendre le contrôle d’un wallet et de transférer tous les actifs numériques sur son propre portefeuille.
Comme l’explique ThreatFabric, le virus s’appuie sur des tactiques d’ingénierie sociale pour convaincre la cible de communiquer ses précieuses clés privées. Là encore, Crocodilus se sert d’une fenêtre factice pour embobiner le détenteur de cryptos. La fenêtre va demander aux utilisateurs de « sauvegarder leur clé de portefeuille dans les paramètres dans les 12 heures », au risque de perdre l’accès à leurs fonds dans le cadre d’une réinitialisation. Dans l’urgence, la cible va sauvegarder ses clés, offrant aux cybercriminels tout le loisir de s’en emparer avec le virus.
« Avec ces informations, les attaquants peuvent prendre le contrôle total du portefeuille et le vider complètement », explique ThreatFabric.
À lire aussi : Cyberattaque massive sur le Play Store – plus de 300 apps Android criminelles veulent infiltrer votre smartphone
La double authentification en danger
Particulièrement complet, le virus dispose d’une vingtaine d’autres commandes malveillantes. Selon les chercheurs, Crocodilus peut aussi envoyer des SMS à tous les contacts de sa cible, intercepter les appels, couper le son, verrouiller l’écran ou lancer une application spécifique parmi les apps installées sur le téléphone. Enfin, il est en mesure de faire des captures d’écran de l’application Google Authenticator, ce qui lui permet de mettre la main sur les codes de sécurité de l’authentification multifactorielle.
Afin de pénétrer sur le smartphone de ses cibles, Crocodilus se propage par le biais d’applications partagées sur la toile. C’est cette application frauduleuse, disponible sous la forme d’un APK, qui va faire office de compte-goutte. En clair, l’application est uniquement conçue pour installer le virus en contournant les mécanismes de sécurité d’Android. Pour le moment, le virus cible surtout les clients de banques espagnoles et turques, et les investisseurs en cryptomonnaies qui résident dans ces deux pays.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : Threat Fabric