Le 31/03/2025, ThreatFabric – une entreprise spécialisée dans la prévention de la fraude – a détecté un nouveau malware sur Android appelé « Crocodilus », qui vole discrètement les portefeuilles de cryptomonnaie des utilisateurs. Avec des techniques sophistiquées, allant du contrôle à distance au vol de phrase de récupération, Crocodilus a ciblé des utilisateurs en Turquie et en Espagne. Cette menace va-t-elle s'étendre et bouleverser le marché de la crypto ?
Crocodilus : « Chasseur » sur Android
#Crocodilus est un cheval de Troie bancaire mobile, découvert pour la première fois par ThreatFabric en ciblant des utilisateurs en Turquie et en Espagne. Ce malware utilise le langage de débogage en turc, montrant un lien avec des groupes criminels dans cette région. Selon Aleksandar Eremin, responsable de l'intelligence des menaces mobiles chez ThreatFabric, Crocodilus « imite des applications liées à la crypto et utilise des techniques d'ingénierie sociale pour inciter les victimes à révéler des secrets de portefeuilles cryptographiques. »
Crocodilus trompe les utilisateurs pour qu'ils fournissent leur phrase de récupération – la clé d'accès à leur portefeuille crypto – en affichant une fausse notification : « Sauvegardez votre clé de portefeuille dans les paramètres dans les 12 heures. Sinon, l'application sera réinitialisée et vous pourriez perdre l'accès à votre portefeuille. » Lorsque les utilisateurs suivent ces instructions, le malware recueille des informations via la fonctionnalité de journalisation d'accessibilité.
Techniques Sophistiquées du Malware
Crocodilus est distribué via un « dropper » exclusif, capable de contourner les mesures de sécurité sur Android 13 et supérieur sans activer Play Protect. Une fois installé, il demande l'autorisation de Service d'Accessibilité, permettant de déployer une superposition d'écran noir pour voler les mots de passe sans que l'utilisateur s'en rende compte.
Ce malware agit également comme un #Trojan accès à distance (RAT), permettant à l'attaquant de contrôler l'interface utilisateur, de faire défiler par gestes, de faire des captures d'écran, et même d'utiliser Google Authenticator pour obtenir des codes d'authentification à deux facteurs. Tout cela est réalisé discrètement grâce à une superposition d'écran noir, empêchant le propriétaire du téléphone de voir les actions en cours.
Modes de Propagation et Cibles
Actuellement, Crocodilus n'a été signalé qu'en train d'attaquer des utilisateurs en Turquie et en Espagne. Cependant, ThreatFabric avertit que le mode de propagation – via des sites malveillants, les réseaux sociaux, des promotions frauduleuses, des SMS et des magasins d'applications tiers – pourrait permettre au malware de s'étendre au-delà de cette région. Les utilisateurs sont souvent trompés pour télécharger un dropper via des sources non officielles, plutôt que depuis Google Play Store.
Impact sur le Marché de la Crypto
Bitcoin (~88 000 USD) : Le prix n'est pas fortement impacté, mais les vols de portefeuilles peuvent réduire la confiance des investisseurs particuliers.
Utilisateurs Android : Risque de sécurité accru, en particulier en Turquie et en Espagne, où l'adoption de la crypto est en augmentation (TVL DeFi ~100 milliards USD).
Marché Noir : Eremin note que Crocodilus, bien qu'étant un « nouveau venu », pourrait devenir un concurrent pour les malwares en tant que service sur le marché noir grâce à son riche ensemble d'outils.
BNB928.4-1.73%
Conseils pour les Utilisateurs
ThreatFabric recommande aux utilisateurs Android de ne télécharger des applications que depuis Google Play Store et d'éviter de télécharger des APK de sources non fiables. Il est également très important de vérifier attentivement les notifications demandant une sauvegarde de portefeuille pour éviter les escroqueries. De plus, les utilisateurs devraient utiliser des portefeuilles matériels ou des solutions de stockage à froid pour protéger leur phrase de récupération.
Conclusion : « Le Crocodile » Va-t-il Continuer à Chasser ?
Crocodilus est un avertissement sévère pour les utilisateurs Android concernant les risques de sécurité dans le secteur de la crypto. Avec sa capacité à voler des portefeuilles de manière sophistiquée et son potentiel d'expansion, ce malware pourrait causer des dommages importants s'il n'est pas contrôlé. La Turquie et l'Espagne ne sont-elles que le début, ou ce « crocodile » attaquera-t-il bientôt à l'échelle mondiale ? Les utilisateurs doivent rester vigilants plus que jamais !
Avertissement de risque : Investir dans la crypto présente des risques élevés en raison de la volatilité des prix et des menaces de sécurité comme les malwares. Réfléchissez bien avant de participer.