Une nouvelle version de Crocodilus se propage dans le monde, y compris en Europe. Cette itération du malware a trouvé une nouvelle technique redoutable pour piéger les internautes au téléphone. Les pirates se font en effet passer pour le service client d’une banque… et vous appellent avec un numéro déjà enregistré dans votre liste de contacts.
Il y a quelques mois, un nouveau virus est parti à l’assaut des smartphones Android. Baptisé Crocodilus, le logiciel malveillant est conçu pour faire les poches de ses victimes. Pour y parvenir, le virus s’empare des coordonnées et des identifiants bancaires des utilisateurs en affichant une fausse fenêtre sur l’écran du téléphone. Cette fenêtre factice imite l’interface de l’application de la banque de la cible.
À lire aussi : AVCheck, le pire cauchemar des antivirus, ferme ses portes
Un virus devenu plus difficile à détecter
Plus récemment, une nouvelle variante de Crocodilus a été repérée par les chercheurs de Threat Fabric, les mêmes experts qui avaient déjà débusqué le malware originel en mars. Cette « évolution inquiétante » est encore plus difficile à détecter par les antivirus ou les systèmes de sécurité. Les cybercriminels se servent désormais d’un malware compte-gouttes (ou « dropper » en anglais) qui cache mieux le code malveillant, en le compressant dans un fichier plus difficile à analyser.
Par ailleurs, la charge malveillante injectée par le compte-gouttes est dorénavant chiffrée. Les pirates ont aussi pris des mesures pour rendre l’analyse du code de Crocodilus très difficile pour les chercheurs en cybersécurité. Le code du virus est notamment rempli de fausses instructions inutiles.
Faux contacts et fausse assistance bancaire
Ce n’est pas tout. Le nouveau Crocodilus dispose d’une toute nouvelle tactique pour piéger les utilisateurs. Le virus va en effet ajouter de faux contacts sur l’appareil. Les pirates vont ensuite passer un appel à l’utilisateur. Au lieu d’afficher un numéro inconnu, le smartphone affichera le nom de ce faux contact sur l’écran. L’astuce permet de se faire passer pour le service client d’une banque sans éveiller les soupçons des victimes. Elle pourrait aussi permettre aux hackers de « contourner les mesures de prévention de la fraude qui signalent des numéros inconnus ».
Selon Threat Fabric, les pirates utilisent des noms comme « Assistance bancaire ». De facto, l’utilisateur n’est pas sur ses gardes lors de l’appel. Le pirate peut ainsi le convaincre de fournir des données personnelles sensibles, comme ses identifiants. Les cybercriminels peuvent ensuite s’en servir pour pénétrer sur le compte et s’emparer de tout l’argent.
À lire aussi : Des milliers de pubs malveillantes pour de l’IA inondent Facebook et LinkedIn
Un champ d’action étendu
Par ailleurs, Crocodilus a considérablement élargi son champ d’action. Initialement cantonné à la Turquie, le virus s’attaque désormais aux internautes de tous les continents. Threat Fabric explique avoir identifié « un nombre croissant de campagnes » reposant sur Crocodilus, y compris dans plusieurs pays européens et en Amérique du Sud. Pour propager le virus, les escrocs s’appuient sur des annonces publicitaires diffusées sur les réseaux sociaux. Ces publicités usurpent le nom de banques et de « plateformes de commerce électronique ». Elles invitent les internautes « à télécharger une application pour réclamer des points bonus ».
On vous recommande donc de faire preuve de la plus grande prudence. Par sécurité, n’installez pas d’applications en provenance de sources inconnues, en dehors du Play Store. Méfiez-vous des publicités qui apparaissent sur Facebook, Instagram et consorts. Ces publicités peuvent très bien cacher leurs véritables intentions. Prenez aussi l’habitude de redémarrer votre téléphone régulièrement. Certains malwares peuvent être stoppés ou ralentis par un simple redémarrage de votre téléphone. Enfin, on rappellera que votre banque ne vous appellera jamais pour vous demander des données au téléphone. Ne communiquez jamais vos identifiants bancaires ou codes par téléphone.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Threat Fabric