Android Malware FvncBot, SeedSnatcher, and ClayRat Gain Stronger Data Theft Features

3 minute de lecture

Mis à jour : December 08, 2025

Évolution des menaces Android : FvncBot, SeedSnatcher et ClayRat se perfectionnent

De nouvelles menaces Android, FvncBot et SeedSnatcher, ainsi qu’une version améliorée de ClayRat, présentent des capacités accrues en matière de vol de données.

FvncBot, un cheval de Troie bancaire, se fait passer pour une application de sécurité mBank et cible les utilisateurs polonais. Développé entièrement de zéro, il utilise les services d’accessibilité pour la journalisation des frappes, des injections web, le streaming d’écran et le contrôle à distance (HVNC) afin de réaliser des fraudes financières. Il est distribué via une application chargeuse qui incite l’utilisateur à installer un composant “Google Play” pour déployer la charge utile malveillante, contournant ainsi les restrictions d’accessibilité sur les versions récentes d’Android.

SeedSnatcher, diffusé via Telegram, se concentre sur le vol de phrases de récupération de portefeuilles de cryptomonnaies. Il intercepte également les SMS pour subtiliser les codes d’authentification à deux facteurs et collecte diverses données du device (contacts, journaux d’appels, fichiers) via des superpositions de phishing. Les opérateurs seraient basés en Chine ou parlent chinois. Ce malware utilise des techniques avancées d’évasion, comme le chargement dynamique de classes et l’injection de contenu WebView dissimulée.

La version améliorée de ClayRat exploite désormais les services d’accessibilité en plus de ses permissions SMS par défaut. Il est ainsi capable d’enregistrer les frappes clavier et l’écran, de présenter des superpositions trompeuses (simulant une mise à jour système) et de créer de fausses notifications interactives. La distribution se fait par le biais de domaines de phishing imitant des services légitimes comme YouTube, promettant des fonctionnalités premium, ou via des applications déguisées en services russes de taxi et de parking. Ces améliorations rendent ClayRat plus dangereux, permettant une prise de contrôle complète de l’appareil.

Points Clés :

Développement de nouvelles familles de malwares Android (FvncBot, SeedSnatcher).
Mise à jour significative de ClayRat avec des fonctionnalités de spyware accrues.
Exploitation généralisée des services d’accessibilité Android pour des activités malveillantes.
Ciblage spécifique : FvncBot vise la Pologne, SeedSnatcher cible les cryptomonnaies, ClayRat se propage via des faux services.
Techniques d’évasion sophistiquées pour échapper à la détection.

Vulnérabilités (si applicable) :

Bien que l’article ne mentionne pas de CVE spécifiques, les malwares exploitent :

Abus des Services d’Accessibilité Android : Permet aux malwares d’interagir avec l’interface utilisateur, de capturer des frappes, de lire le contenu de l’écran et de simuler des interactions. Les versions récentes d’Android (13+) sont également affectées par l’utilisation de “session-based approach” pour contourner ces restrictions.
Failles dans la gestion des permissions : Les malwares demandent initialement peu de permissions, puis les augmentent une fois installés pour accéder à des données sensibles.
Techniques d’ingénierie sociale : Faux-téléchargements (FvncBot), impersonation de services légitimes (ClayRat), phishing via Telegram (SeedSnatcher).
** FLAG_SECURE option :** FvncBot parvient à contourner cette protection qui empêche les captures d’écran.

Recommandations :

Prudence accrue avec les applications : Télécharger uniquement à partir des magasins d’applications officiels (Google Play Store) et vérifier les permissions demandées avant l’installation.
Mises à jour régulières : Maintenir le système d’exploitation Android et toutes les applications à jour pour bénéficier des derniers correctifs de sécurité.
Désactivation des services d’accessibilité non essentiels : Vérifier régulièrement la liste des applications ayant accès aux services d’accessibilité et révoquer les autorisations pour celles qui ne sont pas nécessaires.
Utilisation de solutions de sécurité : Installer et maintenir à jour un logiciel antivirus/antimalware fiable sur les appareils Android.
Sensibilisation au phishing : Se méfier des liens reçus par SMS, e-mail ou messagerie, et ne jamais fournir d’informations sensibles en réponse à des sollicitations non sollicitées.
Sécurisation des portefeuilles de cryptomonnaies : Utiliser des portefeuilles matériels et prendre des précautions extrêmes pour la sauvegarde des phrases de récupération (ne jamais les stocker numériquement ou les partager).

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Android Malware FvncBot, SeedSnatcher, and ClayRat Gain Stronger Data Theft Features

Évolution des menaces Android : FvncBot, SeedSnatcher et ClayRat se perfectionnent

Partager sur

Vous pourriez aimer

Weekly Update 484

Mises à jour hebdomadaires et aperçu des menaces

Massive Rainbow Six Siege breach gives players billions of credits

ISC Stormcast For Sunday, December 28th, 2025 https://isc.sans.edu/podcastdetail/9750, (Sun, Dec 28th)

Point d’information ISC : Alertes et Analyse

Hacker claims to leak WIRED database with 2.3 million records

Fuite massive de données chez Condé Nast