Un spyware ClayRat infecte Android via des canaux Telegram

Génération NT / Actualités / Un spyware ClayRat infecte Android via des canaux Telegram

Publié le 10 octobre 2025 à 14:40 par Jérôme G.

Baptisé ClayRat, un nouveau spyware Android se propage à une vitesse alarmante en usurpant des applications populaires comme WhatsApp, TikTok ou YouTube.

La société de cybersécurité Zimperium a identifié une campagne de spyware Android en pleine expansion. Portant le nom de ClayRat, il cible principalement les utilisateurs russes. Le malware est distribué via des canaux Telegram et des sites de phishing imitant des services connus.

En seulement trois mois, les chercheurs ont observé plus de 600 variantes et 50 droppers. Chaque nouvelle version intègre des couches d'obfuscation supplémentaires pour échapper à la détection.

Comment ce logiciel espion parvient-il à tromper ses victimes ?

La campagne de diffusion du spyware ClayRat repose sur un mélange d'ingénierie sociale et de tromperie technique.

Les attaquants utilisent des portails de phishing et des domaines enregistrés qui imitent des pages de services légitimes pour attirer les utilisateurs. ClayRat se fait passer pour des applications telles que WhatsApp, Google Photos, TikTok et YouTube.

Les utilisateurs sont dirigés vers des canaux Telegram où les fichiers APK malveillants sont hébergés. Pour renforcer la crédibilité, les canaux sont alimentés par de faux commentaires positifs, des chiffres de téléchargement gonflés et de faux témoignages.

Certains échantillons de ClayRat agissent comme de simples droppers. L'application visible n'est qu'un programme d'installation léger affichant un faux écran de mise à jour du Google Play Store, tandis que la charge utile chiffrée est cachée dans les ressources de l'application. Cette méthode permet de contourner les restrictions des versions récentes d'Android.

Quelles sont les capacités de ClayRat une fois installé ?

L'une des tactiques de ClayRat réside dans son détournement du rôle de gestionnaire SMS par défaut d'Android. En obtenant ce statut, le malware s'octroie un accès étendu aux messages, lui permettant de lire, stocker et transférer des SMS sans les alertes de permission habituelles.

Une fois l'autorisation accordée, les possibilités de surveillance sont vastes. ClayRat peut exfiltrer les journaux d'appels, les notifications, les informations sur l'appareil et même prendre des photos avec la caméra frontale.

Une fonction dévastatrice est son auto-propagation. Sur commande de son serveur de contrôle, le malware envoie automatiquement un message contenant un lien malveillant à chaque contact enregistré dans le téléphone de la victime, utilisant la confiance de l'entourage pour se propager de manière exponentielle.

Google Play Protect sur le qui-vive

En tant que partenaire de l'App Defense Alliance, Zimperium a partagé ses découvertes avec Google. En conséquence, les protections ont été renforcées pour tous les utilisateurs.

Cela signifie que les utilisateurs d'Android avec des appareils disposant des services Google Play sont automatiquement protégés contre les versions connues du spyware par le biais de Google Play Protect.

Jérôme G.

Journaliste GNT spécialisé en nouvelles technologies

Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.

Poster un commentaire