Attention à sa gueule béante. Crocodilus, un nouveau virus conçu pour vous voler vos cryptomonnaies en passant par Android, a été repéré. D’après la société de cybersécurité ThreatFabric, le virus Crocodilus se concentre principalement sur les portefeuilles de cryptomonnaies, en recourant à des techniques de social engineering pour dérober les phrases de récupération et subtiliser les cryptos des victimes sans laisser de traces visibles.
Les services d’accessibilité visés
À la différence de nombreux autres malwares, ce virus ne se contente pas d’une simple surveillance. Dès son activation, il présente des fonctionnalités avancées typiques des virus bancaires les plus sophistiqués. Il permet notamment de prendre le contrôle à distance de l’appareil, d’effectuer des captures d’écran discrètes, d’enregistrer toutes les actions via les services d’accessibilité, de superposer des écrans imitant des applications légitimes, ainsi que de dissimuler ses activités malveillantes en affichant un écran noir et en coupant le son de l’appareil.
L’infection par Crocodilus commence généralement par un téléchargement involontaire. Cela peut se produire lorsque l’utilisateur visite un site frauduleux se faisant passer pour un service légitime, clique sur une campagne de phishing diffusée via les réseaux sociaux, ou télécharge une application depuis une boutique tierce contenant un fichier infecté. Ensuite, c’est l’effet boule de neige. Une fois le programme installé, Crocodilus demande l’accès aux services d’accessibilité (une fonctionnalité initialement conçue pour les personnes en situation de handicap) afin d’obtenir des privilèges élevés sans éveiller de soupçons.
Lorsqu’une application de portefeuille est ouverte, un faux message apparaît à l’écran, incitant l’utilisateur à fournir des informations sensibles, telles que sa phrase de récupération. L’utilisateur suit alors les instructions, et les pirates obtiennent directement sa phrase de récupération (seed phrase). Une fois cette dernière enregistrée, les fonds du portefeuille sont rapidement transférés vers une adresse contrôlée par les attaquants. En bref, faites attention !
