De fausses applications TikTok et WhatsApp infectent les appareils Android avec le logiciel espion ClayRat

Les chercheurs en cybersécurité des zLabs de Zimperium ont identifié un nouveau logiciel espion Android à propagation rapide, baptisé ClayRat. Ce logiciel espion cible activement les utilisateurs d'Android, principalement ceux en Russie , en se faisant passer pour des applications fiables comme WhatsApp, Google Photos, TikTok et YouTube.

Les attaquants utilisent des techniques d'ingénierie sociale astucieuses pour introduire le logiciel malveillant sur les appareils. Ils créent de faux sites web ressemblant à s'y méprendre à des pages de service officielles. Par exemple, dans un cas observé, une fausse page d'accueil GdeDPS a été utilisée pour piéger les visiteurs. Ces sites trompeurs redirigent ensuite les utilisateurs vers des chaînes Telegram spéciales, comme @baikalmoscow , où le fichier d'application malveillant est hébergé.

Des enquêtes plus poussées ont révélé que les opérateurs inondent même ces chaînes de faux commentaires positifs et de faux nombres de téléchargements pour réduire les soupçons des utilisateurs avant qu'ils n'installent l'application.

Une fois actif, ClayRat déploie des capacités inquiétantes. Il peut voler les SMS et l'historique complet des appels d'un utilisateur, prendre des photos en secret avec la caméra frontale du téléphone, et même envoyer de nouveaux SMS ou passer des appels directement depuis l'appareil de la victime sans son autorisation.

Les recherches de zLabs, partagées avec Hackread.com avant leur publication lundi, montrent que ClayRat connaît une croissance rapide. Au cours des trois derniers mois, plus de 600 versions différentes du logiciel espion et 50 applications « dropper » (installateurs masquant le véritable code malveillant) ont été détectées.

Ce volume de fichiers uniques et la vitesse à laquelle ils produisent de nouvelles versions prouvent que les opérateurs modifient constamment le déguisement du logiciel pour échapper à la détection des systèmes de sécurité.

Concernant la propagation du logiciel malveillant, les chercheurs ont découvert qu'il exploite abusivement le puissant rôle de messagerie texte des appareils Android, connu sous le nom de gestionnaire SMS par défaut. Cette technique lui permet de contourner les avertissements de sécurité standard et d'accéder pleinement aux données et fonctions sensibles.

Il envoie ensuite automatiquement un SMS malveillant à toutes les personnes du répertoire de la victime. Ce message est généralement en russe : « Узнай первым! « Soyez le premier informé ! » ), et comme il semble provenir d'un ami de confiance, les destinataires sont susceptibles de cliquer dessus. Cela incite chaque appareil infecté à propager l'infection, alimentant une croissance exponentielle. Il est important de noter que cette capacité d'autopropagation est une caractéristique majeure de la campagne.

« À bien des égards, les appareils mobiles nous ont ramenés dix ans en arrière. Les e-mails offrent une certaine protection contre les tentatives d'hameçonnage par des utilisateurs compromis ; en revanche, cette protection est inexistante pour les SMS. Résultat : nous faisons artificiellement confiance aux messages de nos contacts, ce qui peut inclure l'installation d'applications externes à Google Play » , a déclaré John Bambenek , président de Bambenek Consulting.

« La protection essentielle pour tout utilisateur d'appareil mobile consiste à n'installer que des applications provenant des Play Stores/App Stores autorisés, même s'il reçoit un message d'un contact familier. Ce type de technologie RAT, qui permet aux appareils des victimes d'envoyer des messages apparemment authentiques ou même de passer des appels téléphoniques, permet non seulement de contourner l'authentification multifacteur (AMF), mais aussi de lancer des attaques d'usurpation d'identité encore plus sophistiquées » , a-t-il averti.

Les conclusions de Zimperium révèlent une nouvelle menace sérieuse, pour l'instant limitée à la Russie, mais il est peut-être temps qu'elle cible les utilisateurs du monde entier. Pour protéger votre appareil contre des menaces comme ClayRat, utilisez strictement le Google Play Store pour toutes vos applications et n'installez jamais de fichiers APK envoyés par messagerie, sur les réseaux sociaux ou sur des sites web aléatoires. Méfiez-vous également de tout lien que vous recevez, même s'il provient d'un ami, surtout s'il vous invite à installer une application ou une mise à jour.