Veuillez noter que certains liens présents dans ce guide peuvent être des liens d'affiliation, mais que cela n'impacte pas l'objectivité de notre contenu. 
Depuis quelques mois, un nouveau nom circule discrètement, Crocodilus. Derrière cette appellation reptilienne se cache un malware Android particulièrement sournois.
Sa spécialité est de s’attaquer à ce que les cybercriminels convoitent de plus en plus : les portefeuilles de cryptomonnaies.
Les banques et les applications financières sont des cibles historiques bien connues des chevaux de Troie, Crocodilus va plus loin.
Il vise les cryptoactifs, notamment ceux qui gèrent leurs fonds depuis leur smartphone, souvent sans mesures de sécurité suffisantes.
En juin 2025, plusieurs pays, dont l’Espagne, l’Inde, l’Argentine et les États-Unis, ont signalé des vagues d’infection actives.
Une infection en toute discrétion
L’attaque commence par une publicité ultra-réaliste sur les réseaux sociaux. En cliquant sur un lien, la victime est redirigée vers une page imitant un site légitime.
Plus précisément, les services bancaires, les outils de fidélité et même une mise à jour d’application. L’application téléchargée semble inoffensive, mais contient un dropper qui installe Crocodilus en arrière-plan.
Une fois en place, le malware demande l’accès aux services d’accessibilité, prétextant des fonctions d’aide à la navigation.
Si l’utilisateur accepte, et beaucoup le font sans y prêter attention, il donne au logiciel malveillant un contrôle total sur son téléphone.
En conséquence, Crocodilus peut faire une lecture des frappes clavier, des interactions avec l’écran, des captures visuelles, de la lecture des notifications et de l’exécution d’actions à distance.
Une mécanique bien huilée
Crocodilus est particulièrement redoutable lorsqu’il repère qu’une application bancaire ou un portefeuille crypto est lancé. Il affiche alors une fausse interface, une copie conforme de l’application légitime, au-dessus de celle-ci.
L’utilisateur, persuadé d’interagir avec son vrai compte, y entre ses informations sensibles. Ces données sont immédiatement transférées au serveur de l’attaquant.
Et ce n’est pas tout, des versions récentes du malware ont détecté en juin 2025 et vont jusqu’à désactiver l’écran, couper le son et simuler une inactivité pendant que l’appareil est contrôlé à distance.
En quelques secondes, un compte crypto peut être vidé, une transaction validée, et un portefeuille entier transféré.
Une menace qui évolue vite
Depuis sa première apparition, Crocodilus a beaucoup évolué. Il sait aujourd’hui reconnaître les interfaces des portefeuilles crypto les plus populaires et collecter les seed phrases affichées à l’écran. De plus, il peut extraire automatiquement les mots-clés nécessaires pour accéder aux fonds.
Il peut également ajouter de faux contacts dans l’annuaire du téléphone, imitant par exemple un service client bancaire, pour tenter des fraudes vocales ultérieures.
Le malware est désormais actif dans huit pays, et semble provenir d’un groupe structuré avec beaucoup de ressources. Les campagnes d’infection sont ciblées, localisées et diffusées via des réseaux d’annonceurs bien organisés.
⚠️ AZETHIO Warning: Crocodilus malware spreading globally! Steals crypto seed phrases via fake "backup wallet" warnings. 8 countries affected. NEVER enter seed phrases on mobile! 🐊💸 #CryptoThreat #AZETHIO https://t.co/ZmfEodvPX5 pic.twitter.com/aMUNoeliX2
— AZETHIO (@AZETHIO_) June 11, 2025
D’autres menaces du même genre
Crocodilus n’est pas un cas isolé, voici quelques exemples récents :
- Anubis, qui reste actif en 2025, est capable de lire les codes 2FA, d’accéder aux SMS, de suivre les frappes clavier et même d’enregistrer l’audio en arrière-plan.
- Cerberus, toujours présent sur certains marchés clandestins, utilise des techniques similaires de superposition d’écrans pour usurper l’identité des apps bancaires.
- Chameleon, détecté récemment, va jusqu’à désactiver la reconnaissance biométrique pour forcer l’utilisateur à taper manuellement son code PIN, ensuite intercepté. À ce sujet, datant de 2023, rien ne confirme son éradication, alors il est tout à fait plausible de croire qu’il est encore actif.
Tous ces malwares misent sur l’inattention de l’utilisateur. Ils ont tous le même objectif : l’argent, de préférence non traçable. Les cryptomonnaies sont donc des cibles naturelles.
Comment s’en protéger ?
Les recommandations sont classiques, mais essentielles. Il faut éviter d’installer des applications en dehors du Google Play Store.
Aussi, se méfier des messages trop alléchants qui sont souvent utilisés comme appâts.
Il ne faut jamais donner les droits aux services d’accessibilité si ce n’est pas absolument nécessaire. De plus, il est primordial d’activer Google Play Protect.
Pour les cryptomonnaies, il est préférable d’utiliser un portefeuille matériel, et surtout, ne jamais entrer sa seed phrase sur un appareil connecté, sauf dans un environnement parfaitement maîtrisé.
Une guerre numérique en pleine escalade
Finalement, ce que révèle Crocodilus, au-delà de son cas particulier, c’est l’évolution du paysage des menaces sur mobile.
Ce qui était encore considéré il y a cinq ans comme marginal est aujourd’hui industrialisé et parfois impossible à détecter sans outils professionnels.
À mesure que la crypto se démocratise et que les smartphones deviennent le principal outil de gestion de fonds, ce genre d’attaque explosent. Dans ce contexte, Crocodilus n’est peut-être qu’un début.
