Un nouveau logiciel espion menace les utilisateurs Android. Le malware est capable de siphonner toutes les données d’un smartphone, avant de se propager de façon autonome par SMS. Il se cache dans de fausses applications qui se font passer pour WhatsApp, Google Photos, TikTok et YouTube.
Zimperium, une société spécialisée dans la sécurité mobile, a découvert les traces d’un nouveau logiciel espion taillé pour pirater les smartphones Android. Baptisé ClayRat, le malware est conçu pour intercepter tous les SMS, voler les journaux d’appels, les listes de contacts, les notifications reçues, prendre des photos par le biais de la caméra, envoyer des messages piégés ou encore dérober une foule d’informations sur le hardware de l’appareil.
À lire aussi : Espionnage en cours sur Android – deux spywares se propagent via de fausses applications
Des sites web piégés
Pour diffuser le malware, les pirates se servent de sites web piégés et de canaux sur Telegram. Via ceux-ci, ils partagent des applications factices, dont le code cache le virus ClayRat. Afin d’appâter les internautes, les applications se font passer pour des services populaires, comme WhatsApp, Google Photos, TikTok et YouTube. Sans surprise, les sites web qui proposent les applications reprennent l’interface du service pour lequel ils se font passer. Selon Zimperium, les sites ont été développés avec soin par les cybercriminels. On y trouve par exemple de faux commentaires et de faux compteurs de téléchargements.
Les sites redirigent ensuite l’internaute vers un canal Telegram qui héberge des fichiers APK vérolés, infectés par ClayRat. Pour s’installer sur le smartphone, le virus s’appuie sur une méthode d’installation bien précise, basée sur la session. Cette méthode permet de contourner les protections mises en place par Google depuis Android 13. Lorsqu’un utilisateur tente d’installer une application qui ne vient pas du Play Store, Android affiche une alerte et bloque l’accès aux permissions les plus sensibles. Concrètement, le procédé consiste à découper l’installation de l’APK en plusieurs étapes techniques, ce qui empêche Android de déclencher une alerte et de prévenir l’utilisateur.
« Cette méthode d’installation basée sur la session réduit la vigilance des utilisateurs et augmente les risques qu’une simple visite de page installe un logiciel-espion », indique Zimperium.
Un virus qui se propage de façon autonome par SMS
Après avoir siphonné les données de votre téléphone, le logiciel malveillant va envoyer des messages en votre nom. À tous vos contacts, il va transmettre un SMS qui relaient vers les sites factices. Le virus se répand « de manière agressive » en envoyant des liens malveillants « à chaque contact dans l’annuaire téléphonique de la victime », souligne Zimperium. De cette manière, les pirates accélèrent la propagation du logiciel malveillant.
Au cours des trois derniers mois, les chercheurs de Zimperium ont enregistré plus de 600 échantillons de ClayRat sur Internet. C’est la preuve que la campagne bat son plein et que « ClayRat se développe à un rythme alarmant ». Actuellement, la cyberattaque cible surtout les internautes russophones. Bonne nouvelle, Zimperium a partagé toutes ses découvertes avec Google, qui a mis à jour le Play Protect. Celui-ci protège désormais les utilisateurs contre ClayRat et ses multiples variantes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source :
Zimperium