Crocodilus : le nouveau malware Android qui s’immisce dans vos contacts pour mieux vous tromper
Imaginez recevoir un appel de votre « Support Bancaire » suite à une activité suspecte sur votre compte. Le nom s’affiche clairement sur votre téléphone, vous reconnaissez le contact que vous aviez enregistré. Vous décrochez en toute confiance… et tombez directement dans le piège d’un cybercriminel. Cette situation n’est plus de la science-fiction : c’est la réalité créée par Crocodilus, un nouveau malware Android particulièrement vicieux.
Un trojan bancaire d’une sophistication redoutable
Découvert en mars 2025 par l’entreprise de cybersécurité ThreatFabric, Crocodilus représente une nouvelle génération de chevaux de Troie bancaires ciblant spécifiquement les appareils Android. Contrairement à ses prédécesseurs comme Anatsa ou Octo qui ont évolué progressivement, Crocodilus arrive sur la scène comme une menace complètement aboutie dès le départ, équipée de techniques modernes telles que le contrôle à distance, les superpositions d’écran noir et la collecte avancée de données.
Le malware est distribué via des publicités en ligne et, une fois installé sur l’appareil de la cible, il peut tromper les utilisateurs pour voler des informations sensibles. Sa méthode d’infection suit un schéma classique mais efficace : l’installation initiale se fait via un dropper propriétaire contournant les restrictions d’Android 13+, puis le malware demande l’activation des services d’accessibilité.
La manipulation des contacts : une innovation dangereuse
Ce qui distingue particulièrement Crocodilus de ses concurrents, c’est sa capacité à modifier la liste de contacts des appareils infectés. Cette fonctionnalité représente une véritable révolution dans l’art de l’arnaque numérique. Avant d’appeler leurs cibles pour tenter de les arnaquer, les hackers peuvent ajouter un contact sur l’appareil, afin que le numéro puisse paraître plus légitime.
L’équipe de ThreatFabric a observé que, sur réception de la commande « TRU9MMRHBCRO », Crocodilus ajoute un contact spécifié à la liste de contacts de la victime. L’intention est d’ajouter un numéro de téléphone sous un nom convaincant tel que « Support Bancaire », permettant à l’attaquant d’appeler la victime tout en paraissant légitime.
Cette tactique s’avère particulièrement pernicieuse car elle peut contourner les protections contre les arnaques, qui se focalisent généralement sur les numéros inconnus. Les utilisateurs, voyant un nom familier s’afficher, baissent naturellement leur garde et sont plus enclins à révéler des informations sensibles.
Une expansion géographique préoccupante
Initialement confinée à des campagnes de test en Turquie, Crocodilus se développe désormais en ciblant de plus en plus de personnes en Europe. Les dernières découvertes de ThreatFabric démontrent une expansion du champ géographique du malware, l’Argentine, le Brésil, l’Inde, l’Indonésie et les États-Unis étant parmi les autres nations ciblées.
Une campagne notable observée ciblait les utilisateurs en Pologne, en imitant les applications de banques et de plateformes de commerce électronique, le malware était promu via des publicités Facebook. Selon les données de transparité publicitaire de Facebook, ces publicités n’étaient en ligne que pendant 1 à 2 heures, mais chacune était diffusée plus de mille fois, la majorité des spectateurs ayant plus de 35 ans, indiquant un focus sur un public solvable.
Des techniques d’attaque multiples et sophistiquées
Au-delà de la manipulation des contacts, Crocodilus déploie un arsenal complet de techniques malveillantes. Une fois installé, Crocodilus surveille activement le lancement des applications financières, en les recouvrant de fausses pages de connexion. Le malware opère comme un trojan de prise de contrôle d’appareil, exploitant la surveillance d’applications en temps réel pour déclencher des attaques de superposition. Ces superpositions, écrans de phishing basés sur HTML, sont injectées au-dessus d’applications bancaires ou de cryptomonnaie légitimes, capturant les identifiants des utilisateurs.
Une caractéristique remarquable est son « Accessibility Logger », qui transcende l’enregistrement de frappe traditionnel. En se connectant à l’API d’accessibilité d’Android, Crocodilus énumère et enregistre tous les éléments et événements de l’interface utilisateur : saisies de texte, libellés de boutons et contenu dynamique tel que les codes OTP des applications comme Google Authenticator.
Pour les portefeuilles de cryptomonnaies, Crocodilus emploie une tactique particulièrement sournoise. Après la capture d’identifiants via des superpositions, le malware affiche une invite trompeuse : « Sauvegardez votre clé de portefeuille dans les paramètres dans les 12 heures. Sinon, l’application sera réinitialisée et vous pourriez perdre l’accès à votre portefeuille ».
Comment se protéger efficacement
Face à cette menace sophistiquée, la vigilance reste votre meilleure défense. Évitez de télécharger des applications en dehors du Google Play Store, même si une publicité ou un message vous y incite. Soyez particulièrement méfiant envers les « mises à jour » de navigateur proposées via des liens externes ou les applications « bonus » prometteuses.
Si vous recevez un appel d’un supposé support bancaire, même si le nom apparaît dans vos contacts, raccrochez et rappelez directement votre banque via le numéro officiel. Ne communiquez jamais vos identifiants bancaires ou codes d’accès par téléphone, même si l’appelant prétend être de votre banque.
Maintenez votre système Android à jour et utilisez un antivirus mobile reconnu. Les utilisateurs Android sont automatiquement protégés contre les versions connues de ce malware par Google Play Protect, qui est activé par défaut sur les appareils Android avec Google Play Services, mais cette protection ne couvre que les variantes déjà identifiées.
ThreatFabric estime que la récente expansion géographique de Crocodilus est inquiétante et que le malware est désormais plus apte à collecter des informations sensibles et à échapper à la détection. Cette évolution rapide nous rappelle que la cybersécurité mobile nécessite une vigilance constante et des pratiques de sécurité rigoureuses de la part de chaque utilisateur.
Sources :
