Avertissement concernant une campagne visant à transformer les téléphones Android en outils d'espionnage

Les pirates informatiques utilisent une astuce familière mais extrêmement efficace : créer de fausses versions des applications les plus populaires comme WhatsApp, TikTok, Google Photos et YouTube pour inciter les utilisateurs à les installer.

La campagne utilise une combinaison de chaînes Telegram et de sites Web de phishing pour propager le logiciel malveillant.

Selon un rapport de la société de cybersécurité Zimperium, la chaîne d’attaque de ClayRat était très bien orchestrée.

Tout d’abord, les utilisateurs sont attirés vers de faux sites Web qui promettent de proposer des versions « Plus » de l’application avec des fonctionnalités premium telles que YouTube Plus.

À partir de ces sites, les victimes sont dirigées vers des chaînes Telegram contrôlées par des attaquants, où ils utilisent des astuces telles que le gonflement artificiel du nombre de téléchargements et la diffusion de faux témoignages pour donner l'impression que l'application est digne de confiance.

La victime est ensuite amenée à télécharger et à installer un fichier APK contenant le malware ClayRat.

« Une fois infiltré avec succès, ce logiciel espion peut voler des messages SMS, des journaux d'appels, des notifications et des informations sur l'appareil ; prendre secrètement des photos avec la caméra frontale et même envoyer automatiquement des messages ou passer des appels depuis l'appareil de la victime », a déclaré l'expert en cybersécurité Vishnu Pratapagiri de Zimperium Company.

Le plus effrayant avec ClayRat ne réside pas seulement dans le vol de données. Conçu pour se répliquer, le malware envoie automatiquement des liens malveillants à tous les contacts de la victime, transformant le téléphone infecté en un véritable nœud de propagation du virus, permettant aux attaquants de se développer sans intervention manuelle.

Au cours des 90 derniers jours, Zimperium a détecté pas moins de 600 échantillons de logiciels malveillants et 50 applications « leurres », montrant que les attaquants s'améliorent constamment, ajoutant de nouvelles couches de camouflage pour échapper aux logiciels de sécurité.

Surmonter les barrières

Pour les appareils fonctionnant sous Android 13 et versions ultérieures avec des mesures de sécurité renforcées, ClayRat utilise une astuce plus sophistiquée. La fausse application apparaît initialement comme un simple installateur léger.

Lors de son lancement, il affiche un faux écran de mise à jour du Play Store, tout en téléchargeant et en installant silencieusement le principal malware crypté caché à l'intérieur.

Une fois installé, ClayRat demandera à l'utilisateur d'accorder la permission de devenir l'application SMS par défaut afin qu'il puisse accéder et contrôler pleinement les messages et les journaux d'appels.

L’émergence de ClayRat fait partie d’une tendance plus inquiétante en matière de sécurité dans l’écosystème Android.

Récemment, une étude de l'Université du Luxembourg a également montré que de nombreux smartphones Android bon marché vendus en Afrique ont des applications préinstallées qui fonctionnent avec des privilèges élevés, envoyant silencieusement les données d'identification et de localisation des utilisateurs à des tiers.

Google a déclaré que les utilisateurs d'Android seront automatiquement protégés contre les versions connues de ce malware via Google Play Protect, une fonctionnalité activée par défaut sur les appareils dotés des services Google Play.

Cependant, la menace posée par de nouvelles variantes et des sources d’installation non officielles reste un avertissement pour tous les utilisateurs.

Source: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm