ClayRat fait son retour sur Android. Plus redoutable que la dernière fois, le malware commence par désactiver discrètement Google Play Protect. Il s’infiltre ensuite au cœur du smartphone pour accéder à vos données personnelles et financières.
Les chercheurs du zLabs team ont débusqué un nouveau malware taillé pour pirater les smartphones Android, ClayRat. Identifié pour la première fois en octobre 2025, le virus est caché dans le code de fausses applications partagées sur Internet. Pour propager le malware, les pirates ont glissé ClayRat dans des fichiers APK malveillants, parfois hébergés sur des services comme Dropbox. Il s’agit de fausses applications populaires, comme YouTube. Les experts expliquent avoir affaire à « une nouvelle variante aux capacités considérablement améliorées », encore plus redoutable que la version décrite en octobre.
À lire aussi : Des millions de smartphones ont été transformés en « usines à publicités »
700 APK malveillants inondent le web
Les fichiers APK étaient mis en avant sur de faux sites et des pages de phishing, poursuit zLabs team. Les chercheurs ont découvert plus de 700 APK différents et une vingtaine de domaines frauduleux sur Internet. Toutes les preuves montrent qu’il est question d’une campagne à grande échelle.
Une fois installé sur le smartphone, il demande des autorisations sensibles, notamment pour les SMS et les services d’accessibilité. Quand les accès ont été accordés, le malware abuse des services d’accessibilité pour automatiser des actions sur l’écran tactile. Par exemple, il va pouvoir interagir avec des éléments de l’interface Android en cliquant sur des boutons à la place de l’utilisateur. De cette manière, il va désactiver le Google Play Protect sans que la victime s’en rende compte. Cette astuce lui permet de déployer la charge malveillante sur le téléphone sans que les mécanismes de sécurité de Google ne s’activent.
Pillage de données et espionnage
Ensuite, le virus va piller énormément de données. Il va exfiltrer les SMS ou les journaux d’appels. Comme l’explique le rapport, ClayRat a plusieurs tactiques pour intercepter des informations sensibles. Par exemple, il peut enregistrer les interactions sur l’écran de verrouillage pour deviner le code de déverrouillage du smartphone. Il peut aussi créer de fausses notifications pour convaincre l’utilisateur de communiquer des identifiants ou des mots de passe.
Avec un accès aux SMS, le malware est aussi en mesure d’intercepter les codes de connexion envoyés dans le cadre de la double authentification. Enfin, les chercheurs ont remarqué que ClayRat pouvait prendre des photos à l’insu de l’utilisateur et faire des captures d’écran. Au terme de l’offensive, le virus fait main basse sur une montagne de données personnelles et financières. Ces fonctionnalités mises bout à bout « font de ClayRat un logiciel espion plus dangereux que sa version précédente ».
Comme toujours, on vous conseillera de ne surtout pas télécharger d’applications Android dénichées sur des sites inconnus. Méfiez des fichiers APK, même s’ils proviennent de sites qui paraissent officiels. Pour télécharger une application comme YouTube, rendez-vous tout simplement sur le Play Store.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google Actualités, abonnez-vous à notre canal WhatsApp ou suivez-nous en vidéo sur TikTok.
Source :
Zimperium