L’équipe Mobile Threat Intelligence (MTI) de Threat Fabric a averti les utilisateurs de cryptomonnaie au sujet d’une nouvelle variante du malware mobile Crocodilus, désormais équipée d’un collecteur automatique de phrases de récupération.
'Le malware 'Crocodilus' vole des phrases de départ, cible des utilisateurs de crypto-monnaies à l'échelle mondiale
ÉCRIT PAR
PARTAGER
Le malware intègre un parseur de collecte de phrases de récupération
L’équipe Mobile Threat Intelligence (MTI) de Threat Fabric a émis un avertissement aux utilisateurs de cryptomonnaie concernant une nouvelle variante du malware mobile, Crocodilus, qui inclut désormais un collecteur automatique de phrases de récupération. Initialement identifié en mars, ce malware élargit apparemment sa liste de cibles des pays européens pour inclure les utilisateurs en Amérique du Sud.
Dans son dernier billet de blog, l’équipe MTI a déclaré que la nouvelle variante de Crocodilus cible spécifiquement les applications de portefeuilles de cryptomonnaie. Ce qui rend cette variante particulièrement préoccupante, c’est son parseur supplémentaire, qui aide à extraire des phrases de récupération et des clés privées de portefeuilles spécifiques.
Bien qu’encore basé sur la fonctionnalité de journalisation d’accessibilité présente dans les variantes précédentes, le malware mis à jour comprend un prétraitement amélioré des données enregistrées à l’écran. Cette amélioration permet l’extraction des données dans un format spécifique à l’aide d’expressions régulières avant qu’elles ne soient affichées.
“Dans notre précédent billet de blog à propos de Crocodilus, nous avons mis en lumière l’intérêt des cybercriminels pour les portefeuilles de cryptomonnaie car ils incitaient les victimes à ouvrir les applications de portefeuille pour voler les données affichées à l’écran,” a expliqué l’équipe. “Avec un parseur supplémentaire effectué du côté du dispositif, les acteurs de la menace reçoivent des données prétraitées de haute qualité, prêtes à être utilisées dans des opérations frauduleuses comme la prise de contrôle de compte, ciblant les actifs de cryptomonnaie des victimes.”
Au-delà du parseur supplémentaire, le malware mis à jour dispose d’une capacité permettant aux cybercriminels de modifier la liste de contacts sur un appareil infecté. L’équipe MTI soupçonne que cette fonctionnalité permet aux attaquants d’ajouter un numéro de téléphone sous un nom convaincant, comme “Support Banque”. Ce contact pourrait ensuite être utilisé pour appeler la victime tout en paraissant légitime, contournant potentiellement les mesures de prévention de la fraude qui signalent les numéros inconnus.
Selon l’équipe MTI, Crocodilus mène activement des campagnes cybernétiques en Turquie et en Espagne, ciblant les utilisateurs de grandes banques et plateformes de cryptomonnaie. En Turquie, il se déguise en un casino en ligne et se propage via des publicités malveillantes, superposant de fausses pages de connexion sur des applications financières.
En Espagne, il est distribué comme une fausse mise à jour du navigateur, visant presque toutes les banques espagnoles. De plus petites campagnes ont également été détectées avec des cibles mondiales, affectant des applications en Argentine, au Brésil, aux États-Unis, en Indonésie et en Inde, a ajouté l’équipe.
