Android : le malware ClayRat cible les utilisateurs de WhatsApp et YouTube avec de fausses applications !
Un nouveau logiciel espion, baptisé ClayRat, se fait passer pour des applications très populaires comme WhatsApp, TikTok et YouTube pour piéger les utilisateurs d'Android. Quels sont les risques ? Voici ce que l'on sait.
ClayRat : un malware qui cible Android
Les chercheurs en sécurité de chez Zimperium ont mis en ligne un nouveau rapport pour évoquer une menace surnommée ClayRat. Pour attirer leurs victimes, les cybercriminels derrière cette campagne ont mis au point des sites de phishing bien conçus, imitant parfaitement les pages légitimes de services populaires comme TikTok ou YouTube. Ces sites piégés renvoient finalement l'utilisateur vers des canaux Telegram où des fichiers d'installation (.APK) sont mis à sa disposition.
"Pour augmenter le taux de réussite des installations, le logiciel malveillant est souvent accompagné d’instructions simples, étape par étape, qui incitent les utilisateurs à contourner les avertissements de sécurité intégrés d’Android.", précisent les chercheurs.
Certaines versions de ClayRat agissent comme des droppers : "Nos recherches montrent que ClayRat se propage à un rythme alarmant : plus de 600 échantillons et 50 droppers ont été observés rien que ces trois derniers mois, chaque itération ajoutant de nouvelles couches d’obfuscation et de techniques de packing pour échapper à la détection.", peut-on lire dans le rapport.
Sur un appareil Android, le rôle du dropper est d'installer furtivement un malware sans alerter l'utilisateur. Dans le cas présent, un faux écran de mise à jour peut s'afficher pendant que la menace travaille en arrière-plan. Dans le cas présent, le malware ClayRat utilise une méthode d'installation "basée sur la session" pour contourner les restrictions introduites depuis Android 13.
Des capacités d'espionnage et une propagation rapide en Russie
Pour le moment, le malware ClayRat cible les utilisateurs situés en Russie, d'après le rapport de Zimperium. Sur les appareils infectés, il se montre particulièrement intrusif : il peut usurper le rôle d'application SMS par défaut, ce qui lui permet de lire, d'intercepter et même de modifier tous les messages.
Ce n'est pas tout, car grâce à la connexion établie auprès du serveur C2 (Commande et Contrôle), il peut recevoir et exécuter une douzaine de commandes différentes où chaque commande correspond à une action :
- get_apps_list : envoie la liste des applications installées au serveur.
- get_calls : envoie les journaux d'appels.
- get_camera : prend une photo avec la caméra frontale et l'envoie au serveur.
- get_sms_list : exfiltre les messages SMS.
- messsms : envoie des SMS en masse à tous les contacts.
- send_sms / make_call : envoie des SMS ou passe des appels depuis l'appareil.
- notifications / get_push_notifications : capture les notifications.
- get_device_info : collecte des informations sur l'appareil.
De plus, ClayRat est capable de se propager automatiquement auprès de vos proches en envoyant des SMS à toute la liste de contacts. Pour le moment, les travaux de Zimperium semblent perturber cette campagne puisque les applications malveillantes sont désormais bloquées par Google Play Protect.
