Un virus espion « alarmant » se fait passer pour WhatsApp, Google Photos, TikTok et YouTube

Posted by

On October 10, 2025

Un nouveau logiciel espion menace les utilisateurs Android. Le malware est capable de siphonner toutes les données d’un smartphone, avant de se propager de façon autonome par SMS. Il se cache dans de fausses applications qui se font passer pour WhatsApp, Google Photos, TikTok et YouTube.

Zimperium, une société spécialisée dans la sécurité mobile, à découvert les traces d’un nouveau logiciel espion taillé pour pirater les smartphones Android. Baptisé ClayRat, le malware est conçu pour intercepter tous les SMS, voler les journaux d’appels, les listes de contacts, les notifications reçues, prendre des photos par le biais de la caméra, envoyer des messages piégés ou encore dérober une faute d’informations sur le matériel de l’appareil.

À lire aussi : Espionnage en cours sur Android – deux logiciels espions se propagent via de fausses applications

Des sites web piégés

Pour diffuser le malware, les pirates se servent de sites web piégés et de canaux sur Telegram. Via ceux-ci, ils partagent des applications factices, dont le code cache le virus ClayRat. Afin d’appâter les internautes, les applications se font passer pour des services populaires, comme WhatsApp, Google Photos, TikTok et YouTube. Sans surprise, les sites web qui proposent les applications représentent l’interface du service pour lequel ils se font passer. Selon Zimperium, les sites ont été développés avec soin par les cybercriminels. On y trouve par exemple de faux commentaires et de faux compteurs de téléchargements.

Les sites redirigent ensuite l’internaute vers un canal Telegram qui héberge des fichiers APK vérolés, infectés par ClayRat. Pour s’installer sur le smartphone, le virus s’appuie sur une méthode d’installation bien précise, basée sur la session. Cette méthode permet de contourner les protections mises en place par Google depuis Android 13. Lorsqu’un utilisateur tente d’installer une application qui ne vient pas du Play Store, Android affiche une alerte et bloque l’accès aux autorisations les plus sensibles. Concrètement, le procédé consiste à découper l’installation de l’APK en plusieurs étapes techniques, ce qui empêche Android de déclencher une alerte et de prévenir l’utilisateur.

« Cette méthode d’installation basée sur la session réduit la vigilance des utilisateurs et augmente les risques qu’une simple visite de page installe un logiciel-espion »indique Zimperium.

Un virus qui se propage de façon autonome par SMS

Après avoir siphonné les données de votre téléphone, le logiciel malveillant va envoyez des messages à votre nom. À tous vos contacts, il va transmettre un SMS qui se rapportent vers les sites factices. Le virus se propage « de manière agressive » en voyant des liens malveillants « à chaque contact dans l’annuaire téléphonique de la victime »souligne Zimperium. De cette manière, les pirates accélèrent la propagation du logiciel malveillant.

Au cours des trois derniers mois, les chercheurs de Zimperium ont enregistré plus de 600 échantillons de ClayRat sur Internet. C’est la preuve que la campagne bat son plein et que « ClayRat se développe à un rythme alarmant ». Actuellement, la cyberattaque cible surtout les internautes russophones. Bonne nouvelle, Zimperium à toutes ses découvertes partagées avec Google, qui a mis à jour le Play Protect. Celui-ci protège désormais les utilisateurs contre ClayRat et ses multiples variantes.