Le malware Crocodilus Android prend le contrôle total de l'appareil pour vider les portefeuilles cryptographiques

• Crocodilus abuse les Services d’Accessibilité Android pour lire les phrases de récupération, enregistrer les frappes clavier et initier des transferts après déverrouillage biométrique
• Le malware est apparu pour la première fois en Turquie en mars 2025 et s’est rapidement étendu à l’Europe, l’Amérique du Sud, l’Inde et l’Indonésie à la mi-2025
• La distribution se fait via des publicités malveillantes, des applications de portefeuille falsifiées et des pages de mise à jour de navigateur contrefaites proposant des récompenses ou des bonus

Crocodilus, une famille de malwares Android détectée pour la première fois en mars 2025, a évolué pour cibler les portefeuilles de cryptomonnaies en exploitant les permissions système afin d’obtenir un contrôle opérationnel complet sur les appareils infectés. Les dernières variantes du malware peuvent voler des phrases de récupération, exécuter des actions à distance et drainer des actifs directement depuis les applications de portefeuille mobile.

Le malware fonctionne en abusant des Services d’Accessibilité Android et des permissions d’overlay pour lire le texte à l’écran, observer les interfaces des applications, enregistrer les frappes clavier et intercepter les mots de passe à usage unique des outils d’authentification, selon 1inch. Combiné avec son module d’accès à distance, les attaquants peuvent manipuler des téléphones compromis comme s’ils les tenaient physiquement.

Contrôle à distance permettant le vol d’actifs après déverrouillage

Une fois qu’un portefeuille est déverrouillé par n’importe quelle méthode, y compris biométrique, Crocodilus peut ouvrir des applications, naviguer dans les interfaces et initier des transferts sans intervention de l’utilisateur. Certaines variantes affichent de fausses invites de sauvegarde de portefeuille conçues pour imiter de près les interfaces légitimes, trompant ainsi les utilisateurs pour qu’ils re-saisissent leurs phrases de récupération. Lorsqu’elles sont entrées sur un appareil infecté, les attaquants reçoivent instantanément les identifiants et prennent le contrôle permanent des actifs.

Le malware a développé des capacités sophistiquées d’ingénierie sociale. Certaines versions créent de faux contacts de support imitant des fournisseurs de portefeuilles ou des plateformes d’échange. Si une victime remarque une activité inhabituelle et tente de contacter le support, elle peut sans le savoir atteindre l’attaquant, qui la manipule pour qu’elle révèle des informations sensibles supplémentaires ou approuve des actions malveillantes.

Expansion mondiale rapide depuis la découverte en mars

Crocodilus est apparu en Turquie lors de campagnes de test en mars 2025. En quelques semaines, ses opérations se sont étendues à l’Espagne et à la Pologne, et à la mi-2025, le malware était actif dans plusieurs régions d’Amérique du Sud, d’Inde, d’Indonésie et dans des zones isolées des États-Unis, selon ThreatFabric.

Le malware se propage principalement via des publicités malveillantes, notamment sur Facebook. En Pologne, des publicités imitant des plateformes bancaires et de commerce en ligne ont été affichées plus de 1000 fois en une à deux heures, ciblant des utilisateurs de plus de 35 ans. D’autres méthodes de distribution incluent des applications de portefeuille falsifiées et des pages de téléchargement contrefaites se faisant passer pour des mises à jour de navigateur ou des outils de cryptomonnaie.

Les chercheurs en sécurité recommandent d’éviter les fichiers APK inconnus et de vérifier quelles applications disposent des permissions d’Accessibilité. Les applications légitimes de portefeuille, d’échange ou d’authentificateurs ne nécessitent pas une permission d’accessibilité complète. Les utilisateurs ne doivent jamais ressaisir leurs phrases de récupération sur mobile sauf en cas de récupération légitime, car les invites inattendues indiquent généralement une fraude. En cas de suspicion d’infection, il est conseillé de déconnecter immédiatement l’appareil et de transférer tous les actifs restants vers un environnement propre ou un portefeuille matériel.