Logiciel espion ClayRat
Une campagne de logiciels espions Android en pleine expansion, baptisée ClayRat, s'est révélée être une menace importante pour les utilisateurs, notamment en Russie. Les attaquants exploitent une combinaison de chaînes Telegram et de sites web d'hameçonnage similaires, se faisant passer pour des applications populaires comme WhatsApp, Google Photos, TikTok et YouTube afin d'inciter les victimes à installer le logiciel malveillant.
Table des matières
Comment se propage le rat d’argile
La chaîne d'attaque débute lorsque des utilisateurs peu méfiants sont redirigés vers des sites web frauduleux qui renvoient vers des chaînes Telegram contrôlées par les attaquants. Les victimes sont alors amenées à télécharger des fichiers APK malveillants via :
- Nombre de téléchargements artificiellement gonflés
- Témoignages fabriqués affirmant la popularité de l'application
Certains sites malveillants se font passer pour des versions améliorées d'applications populaires, telles que YouTube Plus, et hébergent des fichiers APK conçus pour contourner les mesures de sécurité sur les appareils exécutant Android 13 et versions ultérieures.
Certains échantillons ClayRat fonctionnent comme des droppers, présentant une application légère avec un faux écran de mise à jour du Play Store. La charge utile réelle est chiffrée et dissimulée dans les ressources de l'application, ce qui permet au malware de contourner les restrictions de la plateforme et d'augmenter les taux de réussite d'installation.
Capacités malveillantes
Une fois installé, ClayRat active une gamme de fonctionnalités intrusives :
- Exfiltre les messages SMS, les journaux d'appels, les notifications et les informations sur l'appareil
- Prend des photos à l'aide de la caméra frontale
- Envoie des SMS ou passe des appels directement depuis l'appareil infecté
- Collecte une liste de toutes les applications installées et l'envoie au serveur de commande et de contrôle (C2)
Le logiciel malveillant se propage également de manière agressive en envoyant des liens malveillants à chaque contact du répertoire téléphonique de la victime, transformant ainsi efficacement les appareils compromis en nœuds de distribution automatisés.
Sophistication technique
Les chercheurs en sécurité ont observé plus de 600 échantillons et 50 droppers de ClayRat au cours des 90 derniers jours. Chaque nouvelle itération ajoute des couches d'obfuscation, rendant la détection plus difficile.
La communication avec l'infrastructure C2 repose sur des protocoles HTTP standard, et le logiciel malveillant demande aux utilisateurs d'en faire leur application SMS par défaut pour accéder aux contenus sensibles et aux fonctions de messagerie. Ces fonctionnalités permettent aux attaquants d'exercer une surveillance et d'étendre la portée du logiciel malveillant sans intervention manuelle.
Mesures de protection
Malgré sa puissance, ClayRat est protégé par Google Play Protect, activé par défaut sur les appareils équipés des services Google Play. Play Protect protège automatiquement les utilisateurs contre les versions connues du logiciel malveillant.
ClayRat représente une double menace : il espionne ses victimes tout en transformant leurs appareils en outils de propagation de logiciels malveillants. Sa combinaison d'ingénierie sociale, de techniques d'évasion avancées et de distribution automatisée en fait un adversaire redoutable dans le paysage des menaces Android.
