MtoM Mag - Le journal de l'MtoM.

ZLabs, la division de recherche de Zimperium annonce la découverte d’une variante nettement plus sophistiquée de ClayRat, une famille de spyware Android, présentée dans le rapport d’octobre 2025 « ClayRat : un nouveau spyware Android ciblant la Russie ».

La première version de ClayRat était déjà en mesure d’exfiltrer des SMS, des journaux d’appels, des notifications, des données d’appareil, de prendre des photos, d’envoyer des SMS en masse ou encore de passer des appels (transformant ainsi les smartphones compromis en véritables relais de diffusion). La nouvelle variante marque une rupture majeure : elle renforce sa furtivité et étend considérablement son spectre d’action en détournant simultanément à la fois les privilèges SMS par défaut et les Services d’Accessibilité, ce qui permet de :

 Capturer les identifiants de verrouillage de l’écran (code PIN, mot de passe ou schéma) et de déverrouiller automatiquement l’appareil ;
 Enregistrer l’écran via l’API MediaProjection ;
 Afficher des superpositions frauduleuses (telles que de fausses alertes de mise à jour du système) afin de tromper l’utilisateur ;
 Déclencher des clics de manière automatisée, empêchant ainsi l’utilisateur d’éteindre l’appareil ou de désinstaller l’application malveillante ;
 Générer de fausses notifications, parfois interactives, puis d’intercepter et exfiltrer les réponses.

Ces capacités avancées permettent une prise de contrôle total sur l’appareil. Cette version de ClayRat est bien plus dangereuse que la précédente, les victimes ne peuvent désormais plus détecter ou supprimer facilement le malware. Cela accroît également les risques dans les environnements professionnels : un appareil compromis peut, en effet, divulguer des identifiants d’entreprise, des codes MFA ou des données sensibles via des SMS, des notifications ou des captures d’écran piratés.

ClayRat s’appuie largement sur les techniques d’ingénierie sociale. Comme auparavant, le spyware se fait passer pour des applications et des services légitimes très populaires, notamment les principales plateformes de vidéo et de messagerie, ainsi que des applications locales ou régionales (comme certains services russes de taxi ou de stationnement). Sa diffusion repose principalement sur des sites de phishing et des fichiers APK téléchargés hors des appstores officiels, notamment via des services de stockage cloud telles que Dropbox. Selon zLabs, plus de 700 APK uniques liés à ClayRat ont déjà été identifiés en un temps très court.

« L’évolution de ClayRat montre clairement pourquoi les entreprises ont besoin d’une protection directement au niveau des appareils, et pas seulement d’une défense réseau. En détournant les services d’accessibilité et les techniques de superposition, cette variante transforme les appareils Android en endpoints entièrement compromis, et les défenses traditionnelles ne suffisent plus. » a déclaré Vishnu Pratapagiri, lead researcher chez zLabs.

A mesure que ClayRat étend ses capacités d’espionnage, de contrôle à distance et de manipulation de l’écran de verrouillage, les entreprises doivent considérer cette campagne comme un signal d’alerte majeur. Les appareils mobiles, notamment dans les environnements BYOD, demeurent l’un des points d’entrée privilégiés pour les cybercriminels. Zimperium continue de suivre l’évolution de ClayRat et partage les indicateurs de compromission pertinents avec son écosystème.