Les chercheurs de la société de sécurité mobile Zimperium ont observé une campagne croissante avec Plus de 600 échantillons détectés et 50 compte-gouttes impliquésDistribué via des chaînes Telegram et des pages frauduleuses imitant des portails légitimes. Sa portée et son utilisation intensive de l'ingénierie sociale en font un menace particulièrement active dans l'écosystème Android, semblable à des cas comme Pegasus.
Voici comment cela se propage : des applications d'usurpation d'identité et de faux sites Web
Les opérateurs de campagne lèvent portails qui imitent le Google Play Store et pages officielles Des applications comme WhatsApp, TikTok, YouTube et Google Photos. Ces sites affichent de faux avis, des compteurs de téléchargements gonflés et des commentaires automatisés pour gagner la confiance des utilisateurs.
À partir de ces pages, les victimes sont invitées à télécharger APK malveillants Ces applications sont présentées comme des mises à niveau ou des versions premium. Dans de nombreux cas, le téléchargement est hébergé sur des chaînes Telegram contrôlées par les attaquants, où des instructions sont fournies pour terminer l'installation.
Pour augmenter le taux de réussite, les escrocs demandent aux utilisateurs de activer l'installation à partir de sources inconnues et suivez les étapes d'une application légitime. Ce script réduit les soupçons et permet à l'infection de passer inaperçue.
L'activité a été notamment observée dans territoire russe, même si rien ne garantit que son champ d'action restera limité dans le temps. La combinaison de l'usurpation d'identité visuelle et de la messagerie instantanée facilite son expansion sur d'autres marchés.
Un processus d'installation qui contourne Android 13 et versions ultérieures
L’une des caractéristiques techniques les plus frappantes est l’utilisation d’un mécanisme installation basée sur la session, qui reproduit le processus d'installation d'applications réelles pour minimiser les alertes. Cela permet de contourner certaines restrictions introduites dans Android 13 et versions ultérieures.
Plusieurs échantillons fonctionnent comme des compte-gouttes : Ils affichent un faux écran de mise à jour du Play Store Pendant ce temps, en arrière-plan, ils téléchargent et exécutent la charge malveillante chiffrée. L'expérience semble légitime, mais le résultat est une intrusion de logiciels espions dans le système.
Une fois l'installation terminée, ClayRat se cache entre les processus et établit communication avec votre serveur de commandement et de contrôle (C2) Utilisation du chiffrement AES-GCM et envoi de données par blocs. Cette tactique rend la détection difficile avec les solutions de sécurité conventionnelles.
Ce que ClayRat peut faire à votre téléphone compromis
Le logiciel malveillant demande des autorisations étendues et, lorsqu'il les obtient, tente de s'attacher en tant que application SMS par défautGrâce à cela, vous pouvez lire, intercepter, modifier et envoyer des messages, ainsi qu'interférer avec les notifications qui parviennent aux applications de messagerie.
Ses capacités incluent la capture de photos avec le caméra frontale sans intervention de l'utilisateur, accès aux journaux d'appels, liste des applications installées, collecte de données de l'appareil et de son réseau, et même passer des appels et envoyer des SMS.
- Liste des applications installées (obtenir_la_liste_des_applications).
- Historique des appels (obtenir_des_appels).
- Capture d'images avec la caméra frontale (obtenir_camera).
- Lecture et envoi en masse de SMS (get_sms_list / messages).
- Passer des appels et envoyer des messages depuis le terminal (envoyer_sms / passer_un_appel).
- Collecte de données sur les appareils et le réseau (obtenir_des_informations_sur_l'appareil).
- Encapsulation du trafic HTTP/HTTPS dans Tunnels WebSocket pour masquer les connexions (obtenir_des_données_proxy).
De plus, ClayRat exploite l'utilisateur comme véhicule de propagation:Envoie automatiquement des liens de téléchargement à tous les contacts, multipliant les infections avec une intervention minimale des attaquants.
Mesures d'atténuation et de réponse
Le premier obstacle est le bon sens : téléchargez et installez des applications uniquement à partir du Google Play Store, évitez les versions modifiées ou soi-disant premium et méfiez-vous des mises à jour proposées en dehors de la boutique officielle.
Vérifiez fréquemment au quotidien les permis accordés Vérifiez quelle application est définie comme client SMS par défaut. Si vous remarquez quelque chose de suspect, révoquez les autorisations, désinstallez l'application et analysez votre appareil avec Play Protect ou une autre solution de sécurité réputée.
Dans les environnements d'entreprise, il est conseillé d'appliquer des politiques MDM/EMM pour chargement latéral de blocs, assurez l'intégrité de l'appareil et surveillez le comportement des applications, ainsi que formez le personnel à la détection d'usurpation d'identité.
État et portée de la recherche
Zimperium a catalogué cette famille sous le nom de serveur C2 et confirme une activité soutenue avec de multiples variantes, rappelant des menaces telles que KOSPYLes médias spécialisés ont alerté sur son évolution et l’utilisation intensive de l’usurpation d’identité visuelle et des chaînes Telegram comme vecteur d’entrée.
Le tableau dressé par ClayRat est clair : un logiciel espion se faisant passer pour WhatsApp et TikTok, exploitant l'installation à l'extérieur du magasin, réduisant les panneaux d'avertissement et vole des données avec une grande furtivité, tout en se propageant parmi les contacts. Limiter les téléchargements aux canaux officiels, surveiller les autorisations et ne pas accorder de privilèges critiques aux applications inconnues reste la stratégie la plus efficace pour se protéger.
