Barracuda full logo

Malware Brief : Android dans la ligne de mire de FvncBot, SeedSnatcher et ClayRat

Thèmes:
9 déc. 2025
|
Tony Burgess

Malwares émergents pour Android : tactiques, cibles et stratégies de défense

Ce qu'il faut retenir :

  • Les menaces liées aux malwares visant les appareils Android évoluent rapidement et ciblent à la fois des particuliers et des organisations du monde entier.
  • FvncBot utilise un accès à distance basé sur VNC pour voler des identifiants et contrôler des appareils en temps réel.
  • SeedSnatcher est spécialisé dans le vol de phrases de récupération secrètes des portefeuilles de cryptomonnaies et de clés privées d’utilisateurs d’Android.
  • ClayRat est un outil de spyware modulaire utilisé pour la surveillance, le vol de données et la compromission persistante des appareils.
  • Les pirates exploitent des tactiques de social engineering, des superpositions d’hameçonnage et la distribution d’applications malveillantes pour infecter les appareils Android.
  • Protégez-vous en installant uniquement des applications provenant de sources fiables, en maintenant vos appareils à jour et en activant l’authentification à deux facteurs.

En tant qu’utilisateur d’Android de longue date, je suis habitué à ignorer le mépris et les moqueries que me lancent mes amis adeptes de l’iPhone. Mais malgré ses nombreux atouts (à mon humble avis), la réalité est que le système Android est bien plus vulnérable aux attaques de malwares que les appareils iOS ou iPhone (cependant, il convient de noter qu’un rapport récent de Google suggère l’inverse).

Les appareils Android rencontrent un immense succès et comptent des milliards d’utilisateurs dans le monde. Ils sont utilisés dans tous les domaines, des opérations bancaires aux paiements, en passant par les communications personnelles et les opérations commerciales. Cette omniprésence a toutefois fait d’Android une cible de choix pour les cybercriminels et les acteurs de menaces avancées.

Ces derniers mois, les chercheurs ont observé une augmentation des campagnes de malware sophistiquées qui s’appuient sur des tactiques de social engineering, sur les fonctionnalités d’accessibilité d’Android et sur les canaux de distribution d’applications tierces. Ces attaques évoluent non seulement en complexité technique, mais aussi dans leur capacité à échapper à la détection et à cibler des données de grande valeur, notamment les identifiants financiers et les portefeuilles de cryptomonnaies.

Le rapport d’aujourd’hui met en lumière trois des familles de malwares Android les plus préoccupantes actuellement actives : FvncBot, SeedSnatcher et ClayRat. Chacune d’entre elles présente des capacités et des vecteurs d’attaque uniques, ce qui souligne la nécessité de mettre en place une vigilance accrue et des pratiques robustes en matière de sécurité mobile.

FvncBot : le RAT Android avec une touche VNC

Type : cheval de Troie d’accès à distance (RAT)
Capacités : partage d’écran basé sur VNC, vol d’identifiants, contrôle des appareils
Acteurs de la menace : multiples, y compris des groupes ayant une motivation financière

Récemment développé, FvncBot est un cheval de Troie bancaire Android qui se distingue par son utilisation de l’informatique en réseau virtuel (VNC) pour permettre le contrôle et la surveillance des appareils en temps réel. Déguisé en application de sécurité légitime (notamment pour mBank en Pologne), FvncBot exploite les services d’accessibilité d’Android pour enregistrer les frappes, effectuer des attaques par injection web, diffuser l’écran de l’appareil et déployer des superpositions cachées pour dérober des identifiants.

Le malware est distribué par le biais d’applications dropper qui invitent l’utilisateur à installer un faux composant Google Play, contournant ainsi les restrictions de sécurité sur les versions plus récentes d’Android. Bien qu’il se soit d’abord concentré sur les utilisateurs polonais, les chercheurs avertissent que ses tactiques pourraient facilement être adaptées à d’autres régions et institutions.

SeedSnatcher : un collecteur d’identifiants axé sur les cryptomonnaies

Type : voleur d’informations
Capacités : surveillance du presse-papiers, vol de phrases de récupération secrètes, superpositions d’hameçonnage, interception de SMS
Acteurs de la menace : probablement motivés par l’argent, basés en Chine ou parlant chinois

SeedSnatcher est un voleur d’informations sophistiqué qui cible les utilisateurs de cryptomonnaies. Diffusé sous le nom « Coin » par le biais de Telegram et d’autres réseaux sociaux, il se spécialise dans la collecte de clés privées et de phrases de récupération secrètes de portefeuilles. Pour cela, il s’appuie sur des superpositions d’hameçonnage convaincantes qui imitent les applications de cryptomonnaies les plus répandues.

Le malware intercepte également les SMS pour voler les codes d’authentification à deux facteurs, exfiltre les données de l’appareil et augmente les privilèges pour accéder aux contacts, aux journaux d’appels et aux fichiers.

Les opérateurs de SeedSnatcher utilisent des techniques d’évasion avancées, notamment le chargement dynamique des classes et l’injection furtive de WebView, ce qui rend la détection et la suppression difficiles.

ClayRat : outil d’espionnage avec charges utiles modulaires

Type : RAT/spyware modulaire
Capacités : enregistrement des frappes, enregistrement audio/vidéo, exfiltration de fichiers, attaques par superposition, contrôle des appareils
Acteurs de la menace : groupes APT présumés, possible soutien gouvernemental

Ciblant les appareils Android, ClayRat est une famille avancée de spywares qui a rapidement évolué pour inclure un grand nombre de fonctionnalités de surveillance et de contrôle des appareils. Les dernières versions abusent à la fois des permissions SMS et d’accessibilité pour capturer les frappes sur le clavier, enregistrer les écrans, récolter des notifications et déployer des superpositions imitant les mises à jour du système ou des écrans noirs pour dissimuler des activités malveillantes.

ClayRat est diffusé par le biais de domaines d’hameçonnage et de chaînes Telegram, se faisant souvent passer pour des applications courantes telles que YouTube ou des services de taxis régionaux. Ses mécanismes de persistance et sa capacité à automatiser le déverrouillage des appareils en font une menace redoutable, en particulier dans les environnements BYOD (Bring Your Own Device).

Protéger votre appareil Android

Le paysage des malwares ciblant Android évolue rapidement, et les pirates exploitent les fonctionnalités d’accessibilité, les superpositions d’hameçonnage et le social engineering pour compromettre les appareils et voler des données sensibles. Pour se défendre contre des menaces telles que FvncBot, SeedSnatcher et ClayRat, la meilleure solution consiste à suivre les mêmes recommandations que celles utilisées pour protéger les autres appareils et terminaux contre les malwares.

  • N'installez que des applications provenant de sources fiables (Google Play, sites officiels des fournisseurs)
  • Maintenez votre appareil, vos applications et votre sécurité mobile à jour ;
  • Utilisez des mots de passe forts et uniques et activez l’authentification à deux facteurs ;
  • Sachez repérer les tentatives d’hameçonnage, et méfiez-vous des liens, téléchargements et demandes d’autorisation non sollicités.
Découvrez la plateforme BarracudaONE
Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
 L’attaque par ransomware du Nevada : des enseignements en matière de cyber-résilience à l’échelle d’un État
L’attaque par ransomware du Nevada : des enseignements en matière de cyber-résilience à l’échelle d’un État
 Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
Les démantèlements d'activités cybercriminelles les plus intéressants en 2025
 Le bras long de la loi commence enfin à contrecarrer le smishing
Le bras long de la loi commence enfin à contrecarrer le smishing
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.