https://pepelac.news/fr/posts/id15190-clayrat-le-malware-android-se-renforce-alerte-zimperium

ClayRat: le malware Android se renforce, alerte Zimperium

ClayRat sur Android: espionnage étendu, abus de l’accessibilité et anti‑suppression

ClayRat: le malware Android se renforce, alerte Zimperium

Zimperium alerte sur ClayRat Android renforcé: abus de l’accessibilité, keylogging, vol de PIN/OTP, écrans leurres et anti‑suppression, diffusé via fausses apps

2025-12-10T17:11:47+03:00

Des chercheurs de Zimperium signalent une nouvelle version, plus sophistiquée, du malware Android ClayRat. Là où la menace se limitait autrefois à un simple voleur d’informations récupérant SMS et historiques d’appels, elle s’est muée en outil polyvalent de surveillance avec un accès plus profond au système et une défense intégrée contre sa suppression. Ce glissement a tout d’une escalade préoccupante qui fait monter les enjeux pour l’utilisateur au quotidien.Repérées à l’automne 2024, les premières variantes restaient assez limitées. Désormais, ClayRat exploite les services d’accessibilité d’Android, donnant aux attaquants la main sur l’interface de l’appareil avec très peu de contraintes. L’arsenal s’est élargi: enregistrement des frappes, capture de code PIN, lecture de mots de passe, et même déverrouillage automatique de l’écran.Les spécialistes remarquent aussi un nouveau garde‑fou anti-suppression: ClayRat intercepte les pressions, bloque les commandes de l’utilisateur et substitue des actions pour empêcher l’extinction du téléphone ou la désinstallation du logiciel malveillant. À l’écran, des surcouches factices peuvent apparaître — par exemple une fenêtre de « mise à jour système » — qui masquent la manœuvre réelle. De quoi semer le doute sur ce que l’on croit voir.Pour se diffuser, le cheval de Troie se déguise en applications populaires: clients de services vidéo, messageries, et services locaux de taxi ou de stationnement. Zimperium a identifié plus de 25 domaines leurres, dont de faux sites YouTube Pro et Car Scanner ELM. Les attaquants hébergent aussi des fichiers APK sur Dropbox, contournant ainsi certains filtres de sécurité. S’appuyer sur des marques familières et un stockage cloud légitime rend la supercherie d’autant plus convaincante.Une fois installé, ClayRat prend quasiment la main: il enregistre l’écran via l’API MediaProjection, intercepte les notifications, en modifie les réponses et peut voler des codes à usage unique ou interférer avec des conversations. Avec un tel ancrage, même des actions routinières peuvent ne plus réagir comme prévu.

ClayRat, malware Android, Zimperium, services d’accessibilité, keylogger, vol de PIN, OTP, MediaProjection, interception de notifications, fausses applications, APK Dropbox, sécurité mobile

2025

Danny Weber

news

ClayRat sur Android: espionnage étendu, abus de l’accessibilité et anti‑suppression

Zimperium alerte sur ClayRat Android renforcé: abus de l’accessibilité, keylogging, vol de PIN/OTP, écrans leurres et anti‑suppression, diffusé via fausses apps

Danny Weber, Editor

17:11 10-12-2025

Repérées à l’automne 2024, les premières variantes restaient assez limitées. Désormais, ClayRat exploite les services d’accessibilité d’Android, donnant aux attaquants la main sur l’interface de l’appareil avec très peu de contraintes. L’arsenal s’est élargi: enregistrement des frappes, capture de code PIN, lecture de mots de passe, et même déverrouillage automatique de l’écran.

Les spécialistes remarquent aussi un nouveau garde‑fou anti-suppression: ClayRat intercepte les pressions, bloque les commandes de l’utilisateur et substitue des actions pour empêcher l’extinction du téléphone ou la désinstallation du logiciel malveillant. À l’écran, des surcouches factices peuvent apparaître — par exemple une fenêtre de « mise à jour système » — qui masquent la manœuvre réelle. De quoi semer le doute sur ce que l’on croit voir.

Pour se diffuser, le cheval de Troie se déguise en applications populaires: clients de services vidéo, messageries, et services locaux de taxi ou de stationnement. Zimperium a identifié plus de 25 domaines leurres, dont de faux sites YouTube Pro et Car Scanner ELM. Les attaquants hébergent aussi des fichiers APK sur Dropbox, contournant ainsi certains filtres de sécurité. S’appuyer sur des marques familières et un stockage cloud légitime rend la supercherie d’autant plus convaincante.

Une fois installé, ClayRat prend quasiment la main: il enregistre l’écran via l’API MediaProjection, intercepte les notifications, en modifie les réponses et peut voler des codes à usage unique ou interférer avec des conversations. Avec un tel ancrage, même des actions routinières peuvent ne plus réagir comme prévu.