Le malware Crocodilus, apparu pour la première fois en mars 2025 dans des campagnes localisées en Turquie, a pris de l’ampleur. Il cible désormais des utilisateurs et utilisatrices sur tous les continents et s’est enrichi de nouvelles fonctionnalités.
- Crocodilus, un malware Android, s'est propagé de la Turquie au monde entier, ciblant les utilisateurs via des publicités malveillantes.
- Ce cheval de Troie insère un faux contact dans votre répertoire, rendant les appels frauduleux crédibles et difficiles à détecter.
- Pour se protéger, évitez les pubs douteuses, téléchargez uniquement depuis le Play Store, et vérifiez les autorisations des applis.
D’abord cantonné à quelques campagnes en Turquie, le cheval de Troie Crocodilus a changé d’échelle. Ce malware Android, documenté par les chercheurs de Threat Fabric, cible désormais des victimes sur plusieurs continents avec une approche résolument tournée vers la manipulation. Sa dernière trouvaille ? Glisser un faux contact dans votre répertoire pour que les appels malveillants paraissent venir d’une source familière, et de confiance.
Crocodilus 2.0 : de la Turquie au reste du monde
Les premières versions de Crocodilus se contentaient de voler des données et de prendre le contrôle des appareils à distance. Elles affichaient de faux messages d’erreur pour soutirer les clés de portefeuilles crypto, posant un ultimatum bidon de douze heures pour les sauvegarder. C’était rustique, localisé, et plutôt facile à repérer.
Mais depuis, le malware s’est perfectionné, tant concernant ses méthodes de diffusion que dans son mode de fonctionnement. Aujourd’hui, il s’appuie sur des campagnes de publicités malveillantes largement diffusées pour se faire passer pour des applis grand public ou des mises à jour de navigateur.
Les chercheurs ont notamment repéré une campagne en Pologne, portée par de fausses pubs Facebook invitant les victimes à télécharger une application bancaire ou de e-commerce, promettant des points de fidélité à l’inscription. Selon les données de transparence de la plateforme, les annonces malveillantes sont restées en ligne une à deux heures tout au plus, mais ont systématiquement touché plusieurs milliers de personnes, ciblant plus spécifiquement les profils de plus de 35 ans, certainement perçus comme plus enclin à dépenser ou à investir.
En Espagne, une autre campagne a distribué Crocodilus sous les traits d’une fausse mise à jour de navigateur. Une fois installé, le malware ciblait spécifiquement les clients des principales banques du pays.
D’autres variantes ont été observées ailleurs en Europe, mais aussi en Argentine, au Brésil, en Inde, en Indonésie ou aux États-Unis.
Un faux contact et un vrai risque
Évidemment, dans tous les cas, les victimes cliquent sur le bouton de téléchargement et récupèrent… le cheval de Troie qui, désormais, intègre des mécanismes d’évasion plus poussés que sa première version – code dissimulé, dropper empaqueté, et payload masqué par XOR, et tri local des données pour un vol plus ciblé.
Mais le plus inquiétant reste sans doute cette nouvelle capacité à modifier discrétos la liste de contacts du téléphone. Les hackers ayant réussi à s’introduire dans le smartphone et à prendre le contrôle du système, ils exécutent une commande malveillante qui leur permet de créer une nouvelle entrée dans le répertoire, d’enregistrer leur numéro, et de le sauvegarder derrière un banal « Assistance bancaire ». Et comme Android affiche le nom du contact plutôt que le numéro, l’appel semble légitime. Pas besoin de spoofing ou de tour de passe-passe technique.
Par ailleurs, le contact n’étant pas lié à un compte Google, il n’apparaît pas sur les autres appareils, ce qui complique sa détection. Selon les analystes, cette fonctionnalité pourrait même contourner certaines mesures de prévention mises en place par les opérateurs, qui alertent en cas d’appel suspect provenant d’un numéro inconnu.
En parallèle, Crocodilus a aussi renforcé ses capacités en matière de vol d’informations, en particulier dans le domaine des cryptomonnaies. Le malware ne se contente plus d’attendre que la victime saisisse ses identifiants. Il analyse directement ce qui s’affiche à l’écran quand l’application est ouverte, identifie les suites de mots correspondant à une phrase de récupération, et les extrait à la volée.
La technique repose sur les fonctions d’accessibilité d’Android, déjà utilisées dans les premières variantes du malware. Sauf qu’ici, Crocodilus va plus loin. Il filtre les données localement, repère les bons formats, trie, extrait, et envoie aux serveurs uniquement ce qui l’intéresse vraiment.
Comment se protéger face à ce malware en pleine expansion
Crocodilus évolue vite, mais surtout, il déplace le curseur. Là où la plupart des trojans bancaires restent focalisés sur les identifiants, il cherche désormais à interagir avec sa victime, à capter sa confiance, à l’appeler directement.
Les campagnes sont encore ponctuelles, mais de mieux en mieux ciblées. Et rien n’indique que cette tendance va ralentir. Pour s’en prémunir, pas de secret. Ne cliquez pas sur les pubs Facebook, trop souvent vérolées, téléchargez vos applis depuis le Google Play Store, ne désactivez pas les fonctions Play Protect, contrôlez les autorisations exigées par les applications que vous installez et faites régulièrement le ménage sur votre smartphone.
Enfin, si vous recevez des appels inattendus de votre « Assistance bancaire » et que votre interlocuteur se montre un peu trop pressant, raccrochez rapidement et rappelez vous-même votre banque au numéro disponible sur le site officiel de votre établissement.
Source : Threat Fabric
