Le RAT Android, en évolution rapide, se propage en usurpant l’identité d’applications populaires et en exploitant la confiance des contacts pour propager des liens malveillants sur les réseaux des victimes.
Une campagne de logiciel espion Android en évolution rapide connue sous le nom de « ClayRat », ciblant initialement les utilisateurs russes mais s’étendant désormais bien au-delà, a produit plus de 600 échantillons et 50 compte-gouttes en seulement trois mois.
Selon les observations Zlabs de Zimperium, ClayRat est distribué via des sites de phishing et des chaînes Telegram se faisant passer pour des applications populaires telles que TikTok, YouTube et Google Photos, pour inciter les utilisateurs à télécharger des APK infectés.
En plus de lire et d’envoyer secrètement des messages texte, de prendre des photos et de voler des listes de contacts et des journaux d’appels, ClayRat peut se propager en envoyant des liens malveillants par SMS à toutes les personnes figurant dans la liste de contacts sur le téléphone de la victime, transformant ainsi chaque infection en un centre de distribution.
« À bien des égards, les appareils mobiles nous ont fait reculer d’une décennie », a noté John Bambenek de Bambenek Consulting. « Dans les e-mails, nous disposons d’une certaine protection contre les utilisateurs compromis qui envoient des leurres de phishing. Cependant, cela n’existe pas vraiment dans les SMS. Le résultat est que nous faisons artificiellement confiance aux messages de nos contacts et qu’ils peuvent inclure l’installation d’applications extérieures à Google Play. »
Armer la confiance des fils de discussion Telegram vers Text
« Ce type de technologie RAT, qui permet aux appareils des victimes d’envoyer des messages d’apparence authentique ou même de passer des appels, peut être utilisé pour contourner la MFA ou se lancer dans des attaques sophistiquées d’usurpation d’identité », a ajouté Bambenek.
En exploitant le rôle de gestionnaire SMS par défaut d’Android, ClayRat contourne les contrôles normaux d’autorisation d’exécution, obtenant un accès approfondi sans déclencher d’alarmes pour les utilisateurs. Les analystes de Zimperium ont découvert qu’une fois le rôle accordé, ClayRat peut envoyer ou intercepter des textes, prendre des photos devant la caméra frontale et tout transmettre à ses serveurs de commande et de contrôle (C2).
« Dès réception d’une commande de son serveur de commande et de contrôle (C2), le malware compose « Узнай первым ! » (en anglais : « Soyez le premier à savoir ! ») et, en utilisant les autorisations SEND_SMS et READ_CONTACTS, récupère automatiquement la liste de contacts de la victime et fournit le lien malveillant à chaque entrée », ont déclaré les chercheurs de Zimperium.
Combattre un logiciel espion qui se propage automatiquement
Les experts affirment que combattre ClayRat nécessite à la fois un durcissement technique et une hygiène comportementale.
« Les équipes de sécurité doivent appliquer une posture de sécurité mobile à plusieurs niveaux qui réduit les chemins d’installation, détecte les compromissions et limite le rayon d’explosion », a déclaré Jason Soroko, chercheur principal chez Sectigo. Il recommande de bloquer le chargement latéral via la politique Android Enterprise, de déployer une défense contre les menaces mobiles intégrée à la gestion des points de terminaison et de passer à une MFA résistante au phishing, telle que des clés d’accès ou des clés de sécurité matérielles.
Chrissa Constantine, architecte principale de solutions de cybersécurité chez Black Duck, a déclaré que « la formation et l’éducation des utilisateurs finaux sont fortement recommandées, en particulier pour garantir que les employés comprennent l’importance de ne pas charger d’applications provenant de sources non fiables ».
Zimperium affirme que ses modèles comportementaux de ML ont détecté les premières variantes de ClayRat avant l’existence des signatures et ont depuis partagé des informations sur les menaces avec Google pour renforcer les défenses de Play Protect. Mais à mesure que les logiciels espions continuent d’évoluer, le véritable défi n’est peut-être pas seulement la détection, mais aussi la nécessité de convaincre les utilisateurs que le véritable danger se cache parfois derrière une icône d’application familière.
Les chercheurs ont également partagé une liste complète d’indicateurs de compromission (IOC) pour aider les équipes de sécurité à détecter et à se défendre contre l’activité continue de ClayRat.
