Oblivion RAT se déguise en mise à jour Play Store pour espionner Android

Oblivion RAT n’est pas juste un malware Android de plus, c’est une opération clé en main qui transforme une fausse mise à jour du Google Play en prise de contrôle complète du téléphone. Le piège repose sur des pages de mise à jour copiées au pixel près, puis sur l’activation des Services d’accessibilité, un levier qui donne au logiciel malveillant un pouvoir disproportionné sur l’appareil.

Le modèle économique est tout aussi parlant. Le service est vendu comme un malware-as-a-service à 300 $ par mois, avec des formules allant jusqu’à 2 200 $ pour un accès à vie. Le pack inclut un générateur d’APK, un dropper qui sert d’appât, et un panneau de commande pour piloter les victimes en temps réel. En clair, tu n’as même pas besoin d’être expert pour déployer une campagne d’espionnage.

iVerify décrit une chaîne d’infection en deux étapes

Le point de départ, c’est un modèle en deux étapes: un premier APK, le dropper, arrive chez la victime via des scénarios de social engineering, souvent sur des applis de messagerie ou de rencontres. Ce premier composant ne se contente pas d’afficher un message, il embarque déjà le second étage, compressé, prêt à être installé dès que l’utilisateur est amené à cliquer au bon endroit.

Dans ce dropper, les chercheurs ont observé des pages HTML autonomes qui simulent un flux de mise à jour. Tout est fait pour réduire la méfiance, avec un design qui ressemble à une vraie expérience Play Store. Le dropper contient notamment un fichier de charge utile du type payload. apk. xz, ce qui montre une logique industrielle: le premier étage sert d’emballage, le second contient l’implant final.

Le leurre suit une séquence en plusieurs écrans. D’abord, une fausse fin de téléchargement avec une barre de progression, puis une pseudo analyse de sécurité qui affiche des mentions rassurantes comme no malicious code ou verified developer. L’objectif est simple, te faire baisser la garde, te donner l’impression que le système a contrôlé l’élément, alors que tout est orchestré par l’attaquant.

Ensuite, l’utilisateur voit une fausse fiche Play Store, avec un développeur inventé, une note autour de 4,5 étoiles et un bouton UPDATE bien visible. Le clic déclenche l’installation hors boutique via la mécanique de sideloading, et une page suivante guide la victime, étape par étape, pour autoriser l’installation depuis cette source. C’est pédagogique, presque trop propre, et c’est précisément ce qui rend le piège efficace.

Zimperium détaille l’abus des Services d’accessibilité Android

Le cur technique du dispositif, c’est l’activation des Services d’accessibilité d’Android. À la base, cette fonction aide des utilisateurs en situation de handicap, mais entre de mauvaises mains, c’est une clé passe-partout. Une fois l’option activée, l’implant peut automatiser des actions à la place de l’utilisateur, naviguer dans les menus, valider des demandes, et contrôler des éléments d’interface.

Dans le cas d’Oblivion RAT, les analyses décrivent une capacité à obtenir des permissions dangereuses de manière automatisée, comme l’accès aux SMS, l’écoute des notifications, ou même des fonctions d’administration de l’appareil. Le logiciel ne se contente pas de demander, il peut aussi intercepter et masquer des dialogues système pour rester discret, ce qui réduit les chances que la victime comprenne ce qu’elle vient d’autoriser.

Cette automatisation change la donne. Sur beaucoup de malwares mobiles, l’attaquant dépend d’une série de clics manuels de l’utilisateur, ou d’écrans d’autorisation qui déclenchent une alerte mentale. Ici, l’objectif est de rendre le processus fluide, presque invisible. Tu vois une mise à jour, tu suis des étapes, puis tu continues ta journée, pendant que le téléphone a déjà basculé sous contrôle externe.

Un autre élément décrit dans les rapports, c’est la capacité à se rendre moins visible, par exemple en masquant son icône ou en limitant les signaux d’alerte. Ce n’est pas une promesse marketing vague, c’est un choix d’architecture: l’implant est conçu pour rester en arrière-plan, tout en gardant des capacités de contrôle. D’un point de vue défense, ça oblige à surveiller les événements d’accessibilité et les comportements anormaux, pas seulement la présence d’une appli suspecte.

Le panneau C2 permet VNC, keylogging et ciblage financier

Une fois le second étage actif, on n’est plus dans le simple vol de données opportuniste. Les capacités évoquées incluent un contrôle à distance de type VNC, ce qui signifie que l’opérateur peut voir l’écran et interagir avec la session active. Ce point est important, parce que ça permet de contourner des protections qui dépendent d’une interaction humaine, comme certaines validations in-app ou des parcours bancaires.

Le volet collecte est tout aussi agressif. Les chercheurs mentionnent du keylogging et la lecture d’éléments sensibles, avec un intérêt particulier pour les messages et les notifications. Dans la pratique, si un code de validation arrive par SMS ou via une notification, l’attaquant peut le récupérer. Et si un mot de passe est saisi, le keylogger peut le capter, ce qui ouvre la porte à des compromissions en chaîne.

Le malware se distingue aussi par une fonction décrite comme Wealth Assessment, pensée pour trier les victimes. L’implant catégorise les applications installées liées à la finance et aux cryptomonnaies, pour repérer les cibles à forte valeur. C’est un marqueur de maturité: l’attaquant ne veut pas juste infecter beaucoup de monde, il veut prioriser les appareils qui ont des apps bancaires, des wallets, ou des services d’échange.

Cette logique rappelle des campagnes précédentes où des chevaux de Troie bancaires ciblaient des régions ou des banques précises, mais ici le tri se fait directement sur l’appareil, avec un signal immédiat pour l’opérateur. Et c’est là que l’industrialisation frappe: un service vendu en abonnement, avec builder d’APK et panneau de contrôle, rend ce type de ciblage accessible à des profils moins techniques. C’est une démocratisation du spyware, et c’est franchement un mauvais signe pour l’écosystème Android.

Gurucul observe une diffusion via forums et des écrans de masquage

Les éléments disponibles décrivent une mise en marché structurée. L’outil est annoncé sur des forums clandestins avec des formules tarifaires et une liste de fonctionnalités, ce qui correspond à une logique MaaS classique. L’acteur derrière la vente aurait commencé à promouvoir le produit en février, avec des publications recopiées sur plusieurs espaces, signe d’une volonté de recruter des clients plutôt que de mener une seule campagne.

Sur le plan opérationnel, des analyses mentionnent des mécanismes internes de coordination, du type composants événementiels, pour gérer les étapes d’autorisations et de contrôle. L’idée n’est pas juste d’exécuter un script, mais d’orchestrer une séquence: déclencher un écran, attendre un état, enchaîner sur une action, puis passer à la suivante. Ce genre de logique réduit les erreurs et augmente les chances d’obtenir les permissions nécessaires.

Un détail marquant concerne les écrans de diversion. Des observations parlent d’un affichage de faux écran de mise à jour système pendant que l’attaquant agit. Ce n’est pas anecdotique: si tu vois un écran update en cours, tu poses le téléphone, tu attends, et tu ne touches à rien. Pendant ce temps, l’opérateur peut naviguer, configurer, récupérer des données, sans provoquer de réaction immédiate.

Il faut aussi garder une nuance: certaines listes de capacités circulant sur les forums relèvent de la revendication commerciale, pas toujours validée dans chaque analyse. Mais même en ne retenant que les comportements observés, l’ensemble reste lourd: abus d’accessibilité, contrôle à distance, interception de données. Et cette combinaison, couplée à une distribution facilitée, explique pourquoi les équipes SOC et les RSSI surveillent de près ces plateformes vendues comme des produits.

PCrisk et Hackread rappellent les prix et les risques OTP

Le modèle tarifaire est documenté de manière cohérente dans plusieurs descriptions: 300 $ par mois, des paliers comme 700 $ pour trois mois, 1 300 $ pour six mois, et 2 200 $ pour une licence à vie, avec même des essais de courte durée mentionnés. Ce positionnement produit change la menace: on n’a pas un groupe isolé, on a un catalogue, une offre, et une incitation à multiplier les infections.

Le risque le plus immédiat pour les victimes, c’est l’accès aux OTP et aux codes de validation. Si le malware lit les SMS et les notifications, il peut récupérer des codes bancaires, des confirmations de connexion, ou des validations de paiement. Combiné à un contrôle à distance, l’attaquant peut déclencher une action, attendre le code, l’intercepter, puis finaliser la transaction, parfois sans que la victime comprenne ce qui s’est passé.

Les scénarios de distribution décrits sont volontairement quotidiens: un message qui pousse une mise à jour Play Store, un lien dans une conversation, un faux besoin de sécurité. C’est là que tu dois être lucide, la technique n’a pas besoin d’un exploit complexe si la manipulation est bien faite. Et quand une page imite le Play Store avec une note, un bouton, un développeur, beaucoup de gens suivent le mouvement.

Face à ça, la défense repose sur des gestes simples mais stricts: refuser les installations hors store quand elles ne sont pas indispensables, vérifier les demandes d’accessibilité, et se méfier des mises à jour reçues par message. Côté entreprises, la réponse passe aussi par des politiques MDM, la limitation du sideloading, et la détection comportementale sur mobile. Ce n’est pas glamour, mais c’est ce qui bloque ce type de chaîne d’infection, parce que le piège dépend d’une autorisation accordée, pas d’une faille magique.