ClayRAT : spyware Android ciblant des utilisateurs russes via Telegram et sites de phishing

Selon PolySwarm (blog), ClayRAT est une campagne de spyware Android sophistiquée ciblant des utilisateurs en Russie, identifiée par Zimperium zLabs. En trois mois, plus de 600 échantillons ont été observés. La distribution s’appuie sur des canaux Telegram et des sites de phishing impersonnant des apps populaires comme WhatsApp et YouTube, avec des preuves sociales fabriquées pour crédibiliser les campagnes.

Le malware abuse du rôle d’application SMS par défaut pour accéder discrètement aux SMS, journaux d’appels, notifications et effectuer des opérations de messagerie sans sollicitation de l’utilisateur. Il supporte des commandes à distance permettant l’exfiltration de données (SMS, logs d’appels, notifications, infos appareil), la capture caméra et le déclenchement d’appels/SMS.

ClayRAT utilise des installations par session et des charges chiffrées dissimulées dans les assets d’app afin de contourner les restrictions d’Android 13. La communication C2 passe par HTTP avec des charges Base64 marquées par la chaîne « apezdolskynet »; des variantes avancées emploient le chiffrement AES-GCM et un chargement dynamique des payloads. Des techniques d’obfuscation avancées et des installeurs session-based aident à l’évasion.

Un mécanisme critique de self-propagation transforme chaque appareil infecté en nœud de distribution en envoyant automatiquement des liens malveillants à tous les contacts de la victime. La distribution repose sur Telegram et des domaines de phishing avec une ingénierie sociale renforcée (fausses preuves sociales).

IOCs et TTPs:

• IOCs:
  • Marqueur C2 dans les charges: « apezdolskynet »
• TTPs:
  • Abus du rôle SMS par défaut pour lire/écrire des SMS et accéder aux bases de données SMS
  • Installation par session avec payloads chiffrés dans les assets pour contourner Android 13
  • Self-propagation via envoi de liens malveillants à tous les contacts
  • C2 HTTP avec payloads Base64; variantes avec AES-GCM et chargement dynamique
  • Obfuscation avancée
  • Phishing et Telegram comme vecteurs; apps factices (WhatsApp, YouTube)
  • Capacités: exfiltration SMS/call logs/notifications/infos appareil, capture caméra, initiation d’appels/SMS

Type d’article: analyse de menace visant à documenter la campagne, ses capacités, ses vecteurs de distribution et ses TTPs.

🧠 TTPs et IOCs détectés

TTPs

[‘Abus du rôle SMS par défaut pour lire/écrire des SMS et accéder aux bases de données SMS’, ‘Installation par session avec payloads chiffrés dans les assets pour contourner Android 13’, ‘Self-propagation via envoi de liens malveillants à tous les contacts’, ‘C2 HTTP avec payloads Base64; variantes avec AES-GCM et chargement dynamique’, ‘Obfuscation avancée’, ‘Phishing et Telegram comme vecteurs; apps factices (WhatsApp, YouTube)’, ‘Exfiltration SMS/call logs/notifications/infos appareil’, ‘Capture caméra’, ‘Initiation d’appels/SMS’]

IOCs

[‘Marqueur C2 dans les charges: « apezdolskynet »’]

---

🔗 Source originale : https://blog.polyswarm.io/clayrat

🖴 Archive : https://web.archive.org/web/20251019200300/https://blog.polyswarm.io/clayrat