Un nouveau malware Android vole des cryptomonnaies via des publicités Facebook

Un nouveau malware Android avancé appelé Crocodilus se propage rapidement et vole des données bancaires et cryptographiques des utilisateurs notamment en Pologne, Espagne, Argentine et Brésil.

Le trojan, qui a été découvert pour la première fois en mars 2025, a commencé ses attaques en Turquie via de fausses applications bancaires et des applications de casino. La menace est désormais bien plus grande : les utilisateurs dans plusieurs pays sont à risque de subir des dommages financiers.

Le malware Crocodilus se propage via des publicités Facebook

Selon la société de cybersécurité ThreatFabric, Crocodilus se propage dans des campagnes récentes notamment via des publicités Facebook trompeuses. En Pologne, les utilisateurs ont été séduits par de fausses applications de fidélité. Cliquer sur l’annonce menait à un site web malveillant, où le malware était téléchargé automatiquement.

Le malware parvient même à contourner les sécurités d’Android 13 et supérieur. Selon les données de transparence de Facebook, certaines de ces publicités ont atteint des milliers de personnes en quelques heures, surtout des utilisateurs de 35 ans et plus.

Écrans de connexion factices et astuces intelligentes pour voler des données

Une fois Crocodilus actif sur un appareil, il affiche des écrans de connexion factices par-dessus de véritables applications bancaires ou de cryptowallets. Ainsi, les utilisateurs se font voler leurs données de connexion à leur insu. En Espagne, le malware se propage sous forme de prétendue mise à jour de navigateur et cible presque toutes les grandes banques.

Le malware est techniquement très avancé. Il peut modifier les listes de contacts et insérer de faux numéros enregistrés comme « support bancaire ». Cette méthode est utilisée pour des attaques d’ingénierie sociale, où les victimes sont trompées par téléphone.

Les utilisateurs de crypto gravement touchés par le vol de seedphrases et de clés privées

Crocodilus cible particulièrement les utilisateurs de cryptomonnaie. Le malware est capable d’intercepter les seedphrases et les clés privées des cryptowallets. Cela permet aux cybercriminels d’accéder rapidement et facilement aux actifs numériques.

Les applications de cryptomining et les banques numériques en Europe sont également ciblées. Le malware contient même un logiciel spécialisé pour lire des cryptowallets spécifiques. Ainsi, Crocodilus est actuellement l’une des plus grandes menaces pour les investisseurs en crypto sur Android.

Malware difficile à détecter en raison de techniques avancées

Pour éviter la détection, Crocodilus utilise du code crypté et caché. Le malware contient une logique complexe et des couches de sécurité supplémentaires qui rendent difficile pour les chercheurs de l’analyser ou de l’arrêter.

Selon un rapport d’AMLBOT d’avril 2025, l’utilisation de la « crypto-draining malware » augmente rapidement. Les criminels peuvent louer ces outils via un modèle de logiciel en tant que service, pour seulement 100 à 300 USDT.

Avertissement : même le logiciel officiel n’est plus fiable

Le 19 mai, il a également été révélé qu’un fabricant d’imprimantes chinois diffusait du malware via des pilotes USB officiels. Le logiciel infecté était partagé mondialement via le stockage en nuage et pouvait voler des bitcoins à des utilisateurs sans méfiance.

Il est vivement conseillé aux utilisateurs d’Android de télécharger des applications uniquement via des plateformes officielles telles que le Google Play Store. Soyez particulièrement prudent avec les clics sur les publicités et l’installation de mises à jour en dehors des boutiques d’applications de confiance.