Android : pour tromper ses victimes, le malware Crocodilus ajoute de faux contacts sur les smartphones
Pour piéger les utilisateurs Android, le malware Crocodilus utilise une nouvelle technique : créer de faux contacts pour usurper plus facilement l'identité d'une banque, d'un proche ou d'un autre organisme. Faisons le point sur cette menace.
Crocodilus, une menace mondiale
La menace Crocodilus a été identifié pour la première fois en mars 2025, par les chercheurs de Threat Fabric. À l’origine, ce logiciel malveillant se limitait à quelques campagnes ciblées en Turquie, en faisant usage de techniques très basiques. Mais, désormais, il est beaucoup plus agressif et il y a des victimes un peu partout dans le monde.
Désormais, le logiciel malveillant sévit à l’échelle mondiale, avec un ensemble de campagnes adaptées à chaque cible. Prenons l'exemple de l'Espagne : "Une autre campagne vise les utilisateurs espagnols et distribue Crocodilus sous la forme d'une mise à jour du navigateur. La liste des cibles comprend la quasi-totalité des banques espagnoles, ce qui montre clairement une orientation régionale.", peut-on lire.
Les pays européens ne sont pas les seules cibles. La heatmap présentée ci-dessous et issue du rapport de Threat Fabric montre bien l'activité de Crocodilus. "L'activité récente révèle de multiples campagnes ciblant désormais les pays européens, tout en poursuivant les campagnes turques et en s'étendant globalement à l'Amérique du Sud.", précisent les chercheurs.
Des appels trompeurs grâce à de faux contacts
L'ajout de faux contacts dans le répertoire du téléphone infecté, voilà la nouvelle technique utilisée par le malware Crocodilus ! Pour les cybercriminels, c'est l'occasion de se faire passer pour des interlocuteurs de confiance, comme des banques ou des proches, dans le but de duper plus efficacement leurs victimes... En effet, au lieu de voir un numéro de téléphone inconnu s'afficher, les victimes verront un nom, ce qui est rassurant.
"Le contrôle de l'appareil par l'attaquant s'en trouve encore renforcé. Nous pensons que l'intention est d'ajouter un numéro de téléphone sous un nom convaincant tel que "Bank Support", ce qui permet à l'attaquant d'appeler la victime tout en paraissant légitime.", peut-on lire.
Ce faux contact, ajouté via l’API ContentProvider d’Android, n’est pas synchronisé avec le compte Google de l’utilisateur et reste donc invisible sur ses autres appareils. "Lorsqu'il reçoit la commande 'TRU9MMRHBCRO', Crocodilus ajoute le contact spécifié à la liste de contacts de la victime.", explique Threat Fabric dans son rapport.
L'idée étant de tromper l'utilisateur et de lui voler des données sensibles. Cette montée en puissance de Crocodilus s’accompagne de plusieurs améliorations techniques pour échapper à la détection :
- Empaquetage du code du dropper,
- Chiffrement XOR supplémentaire,
- Obfuscation du code rendant l’analyse du malware plus difficile
- Analyse des données en local pour transférer uniquement les données sensibles
Pour éviter de croiser la route de Crocodilus, commencez par ne pas télécharger d'applications en dehors du Google Play Store. Veillez aussi à activer Play Protect sur votre appareil et regardez les avis avant de télécharger une application.
