Logiciels malveillants Android FvncBot, SeedSnatcher et ClayRat : comment ils attaquent votre téléphone portable

Si vous utilisez quotidiennement un téléphone Android services bancaires en ligne, médias sociaux ou crypto-monnaiesVous devez prendre très au sérieux ce qui suit. Ces derniers mois, plusieurs familles de logiciels malveillants extrêmement sophistiquées – FvncBot, SeedSnatcher et une version améliorée de ClayRat – ont fait leur apparition, portant les attaques mobiles à un niveau supérieur grâce à la combinaison d'ingénierie sociale, de contrôle à distance des appareils et de vol massif de données sensibles.

Contrairement aux virus qui ne diffusaient que des publicités agaçantes, ces chevaux de Troie sont capables de prendre le contrôle quasi total du téléphone, vider les portefeuilles de cryptomonnaies, voler les identifiants bancaires et espionner la victime Avec une sophistication comparable (voire supérieure) à celle de nombreuses attaques sur ordinateur. Nous verrons clairement, mais en détail, comment elles fonctionnent, quelles techniques elles ont en commun et comment empêcher que votre téléphone portable ne devienne un outil pour les pirates.

Un paysage de menaces mobiles de plus en plus agressif

L'écosystème Android est gigantesque, avec des milliards d'appareils qui le gèrent. paiements, authentification à deux facteurs, communications privées et accès aux systèmes d'entrepriseCette omniprésence a fait d'Android une cible privilégiée pour les bandes criminelles, les escrocs financiers et les groupes APT bénéficiant potentiellement du soutien d'États.

Des laboratoires de sécurité tels qu'Intel 471, CYFIRMA et Zimperium ont documenté un évolution accélérée des logiciels malveillants AndroidL'attention ne se porte plus uniquement sur les particuliers. De plus en plus, les campagnes ciblent les employés d'entreprises, les profils disposant d'un accès privilégié ou les utilisateurs qui gèrent d'importantes sommes d'argent dans les secteurs bancaire et des cryptomonnaies.

Dans ce contexte, trois familles en particulier ont acquis une importance particulière : FvncBot, SeedSnatcher et ClayRatChacune d'elles se spécialise dans un domaine particulier (banque traditionnelle, cryptomonnaies ou espionnage persistant), mais elles partagent une approche commune : passer inaperçues en exploitant les fonctionnalités légitimes d'Android, notamment l'accessibilité et les superpositions d'écran. exfiltrer autant d'informations que possible tout en conservant le contrôle de l'appareil.

Les attaquants ont perfectionné l'utilisation de applications d'installation obfusquées, services de chiffrement comme apk0day, canaux de messagerie comme Telegram et domaines d'hameçonnage très sophistiqués qui imitent parfaitement les sites web et applications populaires (YouTube, WhatsApp, applications de taxi, portefeuilles de cryptomonnaies, etc.). Pour l'utilisateur lambda, il devient de plus en plus difficile de distinguer une application légitime d'une application manipulée.

Qu'est-ce que SpyLend et comment fonctionne-t-il ?

FvncBot : cheval de Troie bancaire avec contrôle à distance de type VNC

FvncBot est un Cheval de Troie bancaire et RAT pour Android développés à partir de zéroSans réutiliser de code divulgué par d'autres logiciels malveillants tels qu'ERMAC, sa principale campagne publique cible les utilisateurs de l'application mobile mBank en Pologne, où elle usurpe l'identité d'une application de sécurité officielle prétendument associée à la banque.

L'application frauduleuse agit comme Le programme d'installation est protégé par un service de chiffrement/obfuscation appelé apk0day, proposé par Golden Crypt.Ce service conditionne le code de manière à rendre l'analyse statique et la détection de signatures beaucoup plus difficiles. À l'ouverture de l'application, une notification invite l'utilisateur à installer un composant Google Play censé améliorer la stabilité ou la sécurité du système.

En fait, ce composant est le Charge utile FvncBotCe logiciel malveillant exploite une faille de sécurité liée aux sessions pour contourner les restrictions d'accessibilité imposées par Android 13 et les versions ultérieures aux applications téléchargées en dehors de Google Play. Ainsi, même sur les versions récentes du système, il parvient à activer les autorisations nécessaires pour visualiser et contrôler la quasi-totalité du contenu de l'appareil.

Une fois déployé, FvncBot invite l'utilisateur à autoriser l'accès. autorisations du service d'accessibilitéSi la victime donne son accord, le cheval de Troie obtient des privilèges très élevés : il peut lire ce qui apparaît à l’écran, détecter quelles applications sont ouvertes, simuler les interactions tactiles et les gestes, afficher des fenêtres par-dessus d’autres applications et enregistrer les frappes au clavier dans des formulaires sensibles, tels que les identifiants bancaires ou les services de paiement.

Lors de son exécution, le logiciel malveillant envoie des événements de journalisation à un serveur distant sous le domaine naleymilva.it.comLes échantillons analysés ont montré un identifiant de build « call_pl », qui désigne la Pologne comme pays cible, et une version configurée comme « 1.0-P », indiquant qu'il s'agit d'une famille encore aux premiers stades de développement et, par conséquent, avec la possibilité de continuer à ajouter des fonctionnalités.

Après l'enregistrement du périphérique, FvncBot se connecte à son infrastructure de commande et de contrôle via HTTP et le service Firebase Cloud Messaging (FCM)Par ces canaux, il reçoit des ordres en temps réel et peut modifier son comportement à la volée, en activant ou en désactivant des modules en fonction du type de victime ou de la campagne spécifique.

Parmi les capacidades Les éléments suivants ont été documentés :

Capacité pour Initier ou interrompre les connexions WebSocket permettant le contrôle à distance de l'appareil., en glissant, en tapotant, en faisant défiler ou en ouvrant des applications comme si l'attaquant avait le téléphone portable en main.
Exfiltration de événements d'accessibilité, liste des applications installées et informations sur l'appareil (modèle, version d'Android, configuration du bot, etc.).
Réception de configurations spécifiques pour afficher des superpositions malveillantes en plein écran sur certaines applicationsgénéralement des applications bancaires ou de paiement.
Dissimuler ces chevauchements au moment opportun afin que la victime perçoive à peine un comportement étrange.
Abus des services d'accessibilité pour enregistrer les frappes au clavier et les données saisies dans les formulaires critiques.
Utilisation de l'API MediaProjection pour transmettre le contenu de l'écran en temps réelCela permet aux attaquants de voir exactement ce que fait l'utilisateur, même dans les applications qui bloquent les captures d'écran avec l'indicateur FLAG_SECURE.

De plus, FvncBot possède un « mode texte » qui lui permet de analyser la conception et le contenu visible de l'interface même lorsque des captures conventionnelles ne peuvent être effectuéesCela vous permet d'inspecter les champs de saisie, les boutons et les messages de sécurité dans les applications spécialement protégées.

Il n'existe actuellement aucune confirmation publique de sa principale méthode de distribution, mais, compte tenu des similitudes avec d'autres familles de chevaux de Troie bancaires, il est fort probable qu'elle repose sur campagnes de smishing (sMS d'hameçonnage), liens envoyés par messagerie instantanée et boutiques d'applications tierces où sont téléchargés des clones malveillants d'applications connues ou de faux outils de sécurité.

Bien que la configuration actuelle soit orientée vers utilisateur polonais de mBankLa conception modulaire de FvncBot permet aux attaquants d'adapter facilement le langage, les logos, les modèles de superposition et même de cibler des banques sans effort. Il ne serait pas surprenant de le voir se transformer en campagnes dans d'autres pays ou contre différentes banques en peu de temps.

SeedSnatcher : voleur de phrases de récupération et de codes d’authentification à deux facteurs

Si FvncBot concentre son attention sur les services bancaires traditionnels, SeedSnatcher cible directement l'écosystème crypto.Il s'agit d'un voleur d'informations pour Android conçu pour voler les phrases de récupération des portefeuilles, les clés privées et toute information permettant de prendre le contrôle des portefeuilles de cryptomonnaies, ainsi que d'autres données sensibles de l'appareil.

SeedSnatcher est principalement distribué via Telegram et d'autres réseaux sociaux, déguisés sous le nom de « Coin » ou d'autres noms évoquant des outils d'investissement, des applications de gestion de cryptomonnaies ou l'accès à des offres exclusives. Les attaquants diffusent des liens vers des fichiers APK prétendument légitimes dans des groupes publics et privés liés au trading, aux NFT ou à l'actualité blockchain.

L'application malveillante est conçue pour ne pas éveiller les soupçons lors de son lancement : elle généralement Il ne demande que très peu d'autorisations lors de son installation, notamment l'accès aux SMS ou à des options apparemment inoffensives.Cette approche permet de contourner les solutions de sécurité qui signalent les demandes d'autorisation massives dès le premier démarrage.

Cependant, en coulisses, SeedSnatcher commence à déployer son arsenal. Ses développeurs ont intégré des techniques telles que… Chargement dynamique des classes et injection furtive de contenu dans WebViewCela permet à l'application de télécharger des modules supplémentaires depuis le serveur de commande et de contrôle, de se modifier à la volée et d'activer des fonctions uniquement lorsqu'elle détecte que la victime ouvre certaines applications liées aux cryptomonnaies.

L'une de ses capacités les plus dangereuses est la génération de Des superpositions d'hameçonnage extrêmement convaincantes Ces arnaques imitent l'apparence de portefeuilles de cryptomonnaies, de plateformes d'échange ou d'écrans de récupération de compte connus. L'utilisateur croit restaurer son portefeuille ou vérifier son identité, mais en réalité, il transmet sa phrase de récupération ou sa clé privée aux escrocs.

En plus des semences de récupération, SeedSnatcher peut intercepter les SMS entrants pour capturer les codes d'authentification à deux facteurs (2FA)Cela facilite le piratage des comptes sur les services d'échange, les plateformes de trading, ou même d'autres services qui utilisent encore les SMS comme deuxième facteur d'authentification.

Le logiciel malveillant est également préparé pour Exfiltrer des informations détaillées de l'appareil : contacts, journaux d'appels, fichiers locaux et autres données d'intérêt qui peuvent être réutilisées dans de futures campagnes de fraude, d'extorsion ou de vente sur des forums clandestins.

Les investigations attribuées à CYFIRMA indiquent que les opérateurs de SeedSnatcher seraient groupes basés en Chine ou sinophones, en se basant sur les instructions et la documentation dans cette langue présentes à la fois dans le panneau de contrôle du voleur et dans les messages partagés via Telegram.

Le mode d'élévation de privilèges de SeedSnatcher est très calculé : il commence par permis minimum Pour rester indétectable, l'application demande ensuite l'autorisation d'accéder au gestionnaire de fichiers, d'afficher des superpositions, de lire les contacts, de consulter l'historique des appels et d'autres ressources critiques. Chaque requête est présentée comme nécessaire au fonctionnement légitime de l'application, réduisant ainsi les risques d'éveiller les soupçons de l'utilisateur.

ClayRat : logiciel espion modulaire et contrôle quasi total des appareils

ClayRat est un Logiciel espion modulaire pour Android ayant évolué rapidement Jusqu'à devenir l'un des outils de surveillance mobile les plus dangereux du marché actuel. Initialement conçu pour des marchés spécifiques (notamment les utilisateurs russes), ses versions récentes témoignent d'une nette amélioration de ses capacités, de sa persistance et de sa portée géographique.

Sa distribution repose sur un mélange de campagnes dans Telegram et des sites web d'hameçonnage soigneusement conçus Ces sites web usurpent l'identité de services connus. Ils font la promotion d'applications populaires, telles que WhatsApp, Google Photos, TikTok ou YouTube, et affichent de faux avis, de fausses notes positives et des chiffres de téléchargement gonflés pour renforcer l'illusion de légitimité.

Ce que l'utilisateur télécharge réellement n'est généralement pas le logiciel espion lui-même, mais un Programme d'installation léger contenant un logiciel malveillant caché et chiffréCe programme d'installation peut se faire passer pour une simple application vidéo, un client prétendument amélioré ou un outil utile. Une fois installé, il déchiffre et libère la charge utile malveillante, contournant ainsi certains contrôles de sécurité du système.

Les recherches menées par Zimperium zLabs et d'autres équipes ont révélé que ClayRat Cela constitue un double abus des services d'accessibilité et des autorisations SMS par défaut.En devenant l'application SMS par défaut, elle peut lire, écrire et envoyer des messages à l'insu de l'utilisateur, intercepter les codes d'authentification à deux facteurs, manipuler les conversations et les utiliser comme vecteur de propagation de l'infection.

Les dernières versions intègrent un large éventail de fonctionnalités. répertoire fonctionnalités avancées :

Enregistrement des frappes au clavier, captures d'écran et enregistrement plein écrance qui permet de reconstituer pratiquement tout ce que fait la victime.
Accès à appels, notifications, historique, photos de la caméra frontale et autres données privées, avec la possibilité de les télécharger sur le serveur de commande et de contrôle.
Capacité pour prendre des photos avec la caméra frontale et les exfiltrer silencieusement, quelque chose de particulièrement intrusif puisqu'il pointe directement vers le visage de la victime.
Le déploiement de superpositions simulant des mises à jour système, des écrans noirs ou des messages de maintenance, utilisé pour masquer les activités malveillantes pendant que les attaquants font fonctionner l'appareil en arrière-plan.
Génération de fausses notifications interactives qui semblent provenir du système ou d'applications légitimes et qui servent à collecter des réponses, des codes et des frappes au clavier.

Un aspect particulièrement troublant est la capacité de ClayRat à L'appareil se déverrouillera automatiquement même si vous utilisez un code PIN, un mot de passe ou un schéma.En combinant l'accessibilité, la reconnaissance de la disposition de l'écran et l'automatisation des gestes, le logiciel malveillant parvient à contourner l'écran de verrouillage et à faire fonctionner le téléphone portable sans interaction de l'utilisateur.

En plus d'espionner, ClayRat transforme chaque ordinateur infecté en un nœud de distribution automatiséIl est possible d'envoyer des SMS contenant des liens malveillants aux contacts enregistrés sur le téléphone, en exploitant la confiance accordée aux messages provenant d'un numéro connu. Ceci permet une propagation rapide et massive sans nécessiter d'infrastructure supplémentaire importante de la part des attaquants.

L'utilisation d'au moins 25 domaines d'hameçonnage qui imitent des services légitimes comme YouTubeUne version « Pro » est proposée, censée offrir la lecture en arrière-plan et la prise en charge de la 4K HDR. Des applications tierces imitant l'application ont également été détectées. Applications russes de taxi et de stationnement, en reproduisant les noms, les icônes et les descriptions pour tromper les utilisateurs locaux.

L'extension des capacités de ClayRat — de la simple exfiltration de données à Prise de contrôle totale de l'appareil avec superpositions persistantes et déverrouillage automatique— ce qui rend cette dernière variante encore plus dangereuse que les précédentes, dans lesquelles il existait au moins une possibilité que la victime détecte une activité étrange, désinstalle l'application ou éteigne son téléphone portable à temps.

Techniques courantes : accessibilité, superpositions et techniques d’évasion avancées

Bien que FvncBot, SeedSnatcher et ClayRat poursuivent des objectifs quelque peu différents, ils s'appuient sur un ensemble de Des tactiques et des techniques partagées qui expliquent leur succès dans de véritables campagnes.

Premièrement, il met en évidence abus systématique des services d'accessibilité AndroidCette fonctionnalité a été conçue pour aider les utilisateurs handicapés à interagir avec l'appareil, mais, en cas de mauvaise utilisation, elle donne aux attaquants la possibilité de lire ce qui apparaît à l'écran, de détecter les changements d'interface, d'automatiser les gestes et, en pratique, de contrôler le téléphone portable presque comme s'il leur appartenait.

Le deuxième pilier est le superpositions qui remplacent les interfaces légitimes plein écran ou partiellesEn superposant une fausse interface à une application légitime (qu'il s'agisse d'une banque, d'un portefeuille de cryptomonnaies ou d'un service populaire), les attaquants s'emparent d'identifiants, de données personnelles, de numéros de carte ou de phrases de récupération sans compromettre l'application d'origine. L'utilisateur croit interagir avec l'application habituelle, mais en réalité, il saisit des informations sur un écran contrôlé par le logiciel malveillant.

Troisièmement, ces familles ont recours à techniques d'évasion très élaborées: l'obfuscation et le chiffrement du code à l'aide de services comme apk0day, le chargement dynamique de classes qui ne sont téléchargées qu'en cas de besoin, l'injection silencieuse de contenu dans WebView et l'utilisation d'instructions de commande basées sur des entiers pour rendre le trafic moins évident pour les systèmes de surveillance.

La communication avec les serveurs de commande et de contrôle est également devenue plus sophistiquée. Nombre de ces chevaux de Troie utilisent Firebase Cloud Messaging pour la réception des commandes, connexions WebSocket pour le contrôle en temps réel et exfiltration de données via HTTP ou HTTPS, mêlant son trafic malveillant au trafic légitime d'autres applications, ce qui complique sa détection sur les réseaux d'entreprise et domestiques.

Tout ce qui précède est complété par un travail d'ingénierie sociale très prudentLes pirates créent des applications qui imitent des composants de Google Play, des outils de sécurité, des applications bancaires officielles, des versions « Pro » de plateformes connues ou des services populaires comme les taxis, le stationnement et les portefeuilles numériques. Leur objectif est de tromper l'utilisateur afin qu'il accepte des installations et des autorisations critiques presque sans les lire.

Comment votre appareil Android peut-il être infecté et quels sont les signes d'une compromission potentielle ?

Malgré toute la technologie sous-jacente, le point de départ est généralement toujours le même : convaincre l'utilisateur d'installer manuellement un fichier APK ou d'accorder des autorisations dangereusesPour ce faire, ils utilisent des messages de smishing, des campagnes sur les réseaux sociaux, des forums, des groupes Telegram ou des pages qui promettent des avantages irrésistibles (applications payantes gratuites, versions sans publicité, opportunités d'investissement, etc.).

Une fois que la victime est séduite par la promesse, Téléchargez le fichier APK depuis une source non officielle.appuyez sur « Installer », puis Accepte les autorisations d'accessibilité, l'accès aux SMS, les superpositions et le rôle par défaut de l'application Pour certains services (comme la messagerie), le contrôle passe en grande partie entre les mains du logiciel malveillant, qui tente d'opérer discrètement pour ne pas éveiller les soupçons.

Malgré cela, il existe un certain nombre de indicateurs d'engagement à surveiller:

Consommation anormale de la batterie et surchauffe du téléphone portable sans utilisation intensive apparente.
Augmentation significative du trafic de données mobiles ou Wi-Fi sans explication claire.
Apparence de applications dont vous ne vous souvenez pas avoir installé ou des modifications apportées aux applications SMS, bancaires ou de messagerie par défaut.
Arrêts inattendus, plantages ou comportements étranges dans des applications essentielles telles que les services bancaires, les portefeuilles électroniques, les réseaux sociaux ou la messagerie.
Des boîtes de dialogue d'autorisation inhabituelles, notamment celles liées à l'accessibilité, aux SMS ou à la gestion des appareils.
Alertes en cas de connexions suspectes ou de changements de localisation inhabituels sur vos comptes cloud, services de cryptomonnaies ou services bancaires en ligne.

Si vous remarquez plusieurs de ces symptômes, il est judicieux de consulter un médecin. numérisation complète avec un solution de sécurité mobile de confianceExaminez manuellement la liste des applications installées (y compris celles avec des icônes génériques ou des noms étranges) et, si la situation est grave, envisagez une réinitialisation d'usine après avoir sauvegardé uniquement les données essentielles.

Meilleures pratiques pour protéger votre téléphone portable contre FvncBot, SeedSnatcher et ClayRat

La meilleure défense contre ces menaces allie technologie et bon sens. Au niveau de l'utilisateur, il existe un certain nombre de règles de base en matière d'hygiène numérique ce qui réduit considérablement les risques d'infection par FvncBot, SeedSnatcher, ClayRat ou des logiciels similaires.

La règle d'or est claire : Installez uniquement les applications provenant de Google Play ou des sites web officiels des fournisseurs.Le téléchargement de fichiers APK à partir de liens reçus par SMS, e-mail, réseaux sociaux, chaînes Telegram ou sites de téléchargement « miracles » est aujourd'hui l'un des principaux points d'entrée des logiciels malveillants mobiles.

Il est également essentiel de prendre quelques secondes pour Examinez les autorisations demandées par chaque application avant de les accepter.Si une application censée vous permettre de regarder des vidéos, d'écouter de la musique ou de consulter la météo vous demande un accès complet à vos SMS, aux services d'accessibilité, à vos contacts ou à l'administration de votre appareil, méfiez-vous. De nombreuses attaques exploitent le fait que les utilisateurs cliquent sur « Accepter » sans lire le moindre détail.

Une autre couche fondamentale consiste à maintenir Android, applications et solutions de sécurité toujours à jourLes fabricants et Google publient régulièrement des correctifs pour combler les failles de sécurité que ces chevaux de Troie tentent d'exploiter. Activer les mises à jour automatiques et les vérifier périodiquement représente un investissement en temps minime pour un gain de sécurité considérable.

Concernant les comptes et les identifiants, il est conseillé d'utiliser Des mots de passe forts et différents pour chaque serviceStockez ces clés dans un gestionnaire de mots de passe fiable et activez l'authentification à deux facteurs dès que possible. Il est toutefois préférable d'utiliser des méthodes d'authentification à deux facteurs basées sur des applications d'authentification ou des clés physiques plutôt que sur les SMS, car de nombreux logiciels malveillants mobiles sont spécialisés dans l'interception des messages.

Pour ceux qui gèrent des montants importants de cryptomonnaies, il est prudent de... Les phrases de récupération et les clés privées ne sont ni générées ni stockées sur un appareil Android standard.L'utilisation de portefeuilles matériels ou d'appareils dédiés minimise l'impact d'un voleur d'informations comme SeedSnatcher sur l'appareil mobile principal.

En entreprise, les organisations devraient s'appuyer sur solutions de gestion des appareils mobiles (MDM) Pour contrôler les applications installables, appliquer des politiques de chiffrement, séparer les profils professionnels et personnels et surveiller les indicateurs de compromission, la formation continue des employés sur le phishing mobile, les liens suspects et les écrans d'autorisation anormaux est tout aussi importante que toute solution technique.

L'essor de FvncBot, SeedSnatcher et du nouveau ClayRat prouve que La cybercriminalité se concentre désormais principalement sur les appareils mobiles.Comprendre leur fonctionnement, les autorisations dont ils abusent et les raisons du succès de leurs campagnes permet de sensibiliser le public au fait que le smartphone n'est plus un simple « jouet » relativement inoffensif, mais le maillon le plus précieux de notre vie numérique.