Avertissement concernant une campagne visant à transformer les téléphones Android en outils d'espionnage

Les pirates informatiques utilisent une astuce bien connue mais extrêmement efficace : créer de fausses versions des applications les plus populaires comme WhatsApp, TikTok, Google Photos et YouTube pour inciter les utilisateurs à les installer.

La campagne utilise une combinaison de chaînes Telegram et de sites web d'hameçonnage pour diffuser le logiciel malveillant.

D'après un rapport de la société de cybersécurité Zimperium, la chaîne d'attaques de ClayRat était très bien orchestrée.

Tout d'abord, les utilisateurs sont attirés par de faux sites web qui promettent d'offrir des versions « Plus » de l'application avec des fonctionnalités premium telles que YouTube Plus.

Depuis ces sites, les victimes sont dirigées vers des chaînes Telegram contrôlées par les attaquants, où ces derniers utilisent des techniques telles que la falsification du nombre de téléchargements et la diffusion de faux témoignages pour donner l'illusion de la fiabilité de l'application.

La victime est ensuite piégée et amenée à télécharger et installer un fichier APK contenant le logiciel malveillant ClayRat.

« Une fois infiltré avec succès, ce logiciel espion peut voler les SMS, les journaux d'appels, les notifications et les informations de l'appareil ; prendre secrètement des photos avec la caméra frontale et même envoyer automatiquement des messages ou passer des appels depuis l'appareil de la victime », a déclaré Vishnu Pratapagiri, expert en cybersécurité de la société Zimperium.

Le plus inquiétant avec ClayRat, ce n'est pas seulement le vol de données. Conçu pour se répliquer, ce logiciel malveillant envoie automatiquement des liens malveillants à tous les contacts de la victime, transformant ainsi le téléphone infecté en un relais de propagation du virus et permettant aux attaquants d'étendre leur attaque sans intervention manuelle.

Au cours des 90 derniers jours, Zimperium a détecté pas moins de 600 échantillons de logiciels malveillants et 50 applications « leurres », ce qui montre que les attaquants améliorent constamment leurs techniques, ajoutant de nouvelles couches de camouflage pour échapper aux logiciels de sécurité.

Surmonter les obstacles

Pour les appareils fonctionnant sous Android 13 et versions ultérieures dotés de mesures de sécurité renforcées, ClayRat utilise une technique plus sophistiquée. La fausse application se présente initialement comme un simple installateur léger.

Au lancement, il affiche un faux écran de mise à jour du Play Store, tout en téléchargeant et installant silencieusement le logiciel malveillant crypté principal dissimulé à l'intérieur.

Une fois installée, ClayRat demandera à l'utilisateur l'autorisation de devenir l'application SMS par défaut afin qu'elle puisse accéder et contrôler pleinement les messages et l'historique des appels.

L'apparition de ClayRat s'inscrit dans une tendance plus inquiétante en matière de sécurité au sein de l'écosystème Android.

Une étude récente de l'Université du Luxembourg a également montré que de nombreux smartphones Android bon marché vendus en Afrique sont équipés d'applications préinstallées fonctionnant avec des privilèges élevés, envoyant silencieusement les données d'identification et de localisation des utilisateurs à des tiers.

Google a déclaré que les utilisateurs d'Android seront automatiquement protégés contre les versions connues de ce logiciel malveillant grâce à Google Play Protect, une fonctionnalité activée par défaut sur les appareils disposant des services Google Play.

Toutefois, la menace que représentent les nouvelles variantes et les sources d'installation non officielles reste un avertissement pour tous les utilisateurs.

Source : https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm