ClayRat : nouveau logiciel espion ciblant les smartphones Android via sites factices et Telegram

La société spécialisée en sécurité mobile Zimperium a identifié un nouveau logiciel espion visant les appareils Android. Baptisé ClayRat, ce malware est capable de dérober un large éventail de données et de prendre le contrôle de certaines fonctionnalités d’un téléphone infecté.

Ce que peut faire ClayRat

Selon Zimperium, ClayRat dispose notamment des capacités suivantes :

• intercepter tous les SMS reçus et envoyés,
• voler les journaux d’appels et la liste de contacts,
• lire les notifications reçues,
• prendre des photos via la caméra,
• envoyer des messages piégés aux contacts de la victime,
• collecter de nombreuses informations matérielles (hardware) sur l’appareil.

Des sites trompeurs et des canaux Telegram

Pour diffuser le malware, les opérateurs utilisent des sites web soignés qui imitent l’interface de services populaires (WhatsApp, Google Photos, TikTok, YouTube, etc.). Ces pages contiennent de faux commentaires et de faux compteurs de téléchargement pour gagner la confiance des visiteurs, puis redirigent vers des canaux Telegram hébergeant des fichiers APK infectés.

Les APK vérolés contiennent le code de ClayRat. L’installation s’appuie sur une « méthode d’installation basée sur la session » : en fractionnant le processus d’installation en plusieurs étapes, le malware évite de déclencher les alertes et les blocages qu’Android active normalement lorsque l’on tente d’installer une application hors du Play Store, notamment depuis Android 13.

« Cette méthode d’installation basée sur la session réduit la vigilance des utilisateurs et augmente les risques qu’une simple visite de page installe un logiciel-espion », indique Zimperium.

Propagation autonome par SMS

Une fois les données siphonnées, ClayRat envoie des SMS en se faisant passer pour la victime. Ces messages contiennent des liens renvoyant vers les mêmes sites factices, et sont envoyés à chaque contact du carnet d’adresses afin d’accélérer la propagation du malware.

Portée de la campagne et réponses

Au cours des trois derniers mois, Zimperium a repéré plus de 600 échantillons de ClayRat en circulation, signe que la campagne est active et se développe rapidement. Les attaques visent pour l’instant majoritairement des internautes russophones.

Zimperium a partagé ses découvertes avec Google. Play Protect a été mis à jour pour détecter ClayRat et plusieurs de ses variantes, offrant ainsi une protection supplémentaire aux utilisateurs ayant Play Protect activé.

Recommandations

• Éviter d’installer des applications en dehors du Google Play Store, sauf si la source est pleinement fiable.
• Ne pas cliquer sur des liens suspects reçus par SMS ou via des messageries non vérifiées.
• Maintenir le système et les applications à jour et s’assurer que Play Protect est activé.