Une alerte concernant un malware Android nommé ClayRat émerge, se faisant passer pour des applications très populaires. Les utilisateurs doivent rester vigilants, car cette menace met en danger leurs données personnelles à travers des installations trompeuses.
Le malware se cache derrière des applications Android connues
Un nouveau malware, nommé ClayRat, cible les utilisateurs Android en se faisant passer pour des applications populaires telles que WhatsApp, TikTok, YouTube et Google Photos. Selon la société de sécurité mobile Zimperium, ce spyware se propage par des canaux Telegram et des sites web falsifiés. Ces derniers imitent des portails officiels pour tromper les victimes et les inciter à télécharger des APK malveillants.
Au cours des trois derniers mois, les chercheurs de Zimperium ont identifié plus de 600 échantillons et environ 50 installateurs différents. Cela témoigne d’une campagne large et en constante évolution. Les attaquants créent des pages de phishing avec des avis faux, des compteurs de téléchargements gonflés et une interface qui imite celle du Google Play, fournissant également des instructions détaillées pour contourner les alertes de sécurité d’Android.
Une fois le paquet malveillant installé, l’application peut afficher un écran de mise à jour trompeur tout en exécutant le spyware en arrière-plan. ClayRat utilise une méthode d’installation « basée sur la session », permettant de contourner certaines restrictions introduites dans Android 13 et les versions ultérieures, diminuant ainsi les soupçons des utilisateurs.
Il faut être très prudent avec ClayRat !
Une fois actif, le malware peut acquérir des privilèges avancés tels que lire et extraire des messages SMs, accéder aux journaux d’appels, prendre des photos avec la caméra frontale, capturer des notifications et, avec l’autorisation adéquate, devenir l’application de SMs par défaut, prenant ainsi le contrôle total des messages sur l’appareil. Il peut également envoyer des messages SMs en masse aux contacts de la victime et se propager rapidement.
ClayRat communique avec ses serveurs de commande et de contrôle via des canaux cryptés. Il prend en charge plusieurs commandes à distance pour récupérer des listes d’applications installées, obtenir des informations sur l’appareil, rediriger des messages ou initier des appels.
La Zimperium a partagé les indicateurs de compromis (IoCs) avec Google, et Play Protect a bloqué les déclinaisons connues. Cependant, les experts mettent en garde que la campagne reste active et que les utilisateurs doivent éviter de télécharger des applications depuis des liens externes ou des canaux Telegram.