Crocodilus : le malware qui dévore vos cryptos à l’échelle mondiale

Des crocodiles dans votre portefeuille ? Le malware Crocodilus, longtemps tapi en Turquie, sort les crocs et vise désormais les utilisateurs crypto et bancaires d’Europe, d’Amérique du Sud… et d’ailleurs. Une expansion inquiétante à l’heure où les seed phrases valent plus que l’or.

De la Turquie à l’Argentine : une expansion virale

Détecté pour la première fois en mars 2025, Crocodilus se faisait alors passer pour une appli de casino en ligne ou une fausse interface bancaire en Turquie. Classique. Mais voilà que l’animal numérique s’est mis à voyager.

Selon ThreatFabric, des campagnes actives visent désormais la Pologne, l’Espagne, l’Argentine, le Brésil, l’Indonésie, l’Inde et les États-Unis. Une campagne polonaise a même utilisé des publicités Facebook pour propulser des applications de fidélité infectées. En quelques heures, des milliers d’utilisateurs, principalement âgés de plus de 35 ans, ont été exposés. Souriez, vous êtes hameçonné.

Une app… ou un faux login crypto ?

Une fois installé, Crocodilus déploie des écrans factices qui se superposent aux vraies applications bancaires ou crypto. En Espagne, il se déguise en mise à jour de navigateur et vise sans pitié les plus grandes banques. Mais la vraie nouveauté, c’est son appétit pour les wallets crypto.

Le malware dispose désormais d’un collecteur automatique de seed phrases, ces précieuses phrases de récupération qui ouvrent la porte à tous vos fonds. Il peut aussi modifier les carnets de contacts, ajoutant des numéros prétendument liés au “support bancaire”. La recette parfaite pour un cambriolage numérique doublé d’une arnaque sociale.

Obfuscation, XOR et autres joyeusetés

Côté technique, Crocodilus muscle aussi sa carapace. Son code est obfusqué à outrance, utilise des chiffrements XOR et des logiques tordues pour déjouer les analyses. Du sur-mesure pour les analystes en cybersécurité… ou leurs pires cauchemars.

Et pendant que Crocodilus mord à pleines dents dans les wallets, ses cousins moins sophistiqués se multiplient. Selon AMLBot, les crypto drainers — malwares spécialisés dans le siphonnage de portefeuilles — se louent désormais comme un vulgaire logiciel SaaS : entre 100 et 300 USDT la session de vol.

Le 19 mai, on découvrait même qu’un fabricant d’imprimantes chinois, Procolored, avait distribué un malware Bitcoin via ses pilotes USB officiels. Comme quoi, la menace ne vient pas toujours d’où on l’attend.

Crypto-sécurité : l’heure de la vigilance absolue

Dans ce Far West numérique, où une mise à jour peut valoir une ruine, la sécurité des portefeuilles crypto devient une urgence existentielle. Désactiver les installations hors Play Store, ne jamais enregistrer ses clés privées dans le cloud, et fuir les apps bancaires trop “généreuses” : ce sont les nouveaux réflexes de survie.

Car dans la jungle mobile de 2025, le vrai prédateur, ce n’est plus le trader impatient. C’est le malware qui sourit derrière une interface séduisante.

Partager cet article :