Шпионски софтуер ClayRat
Бързо развиваща се шпионска кампания за Android, известна като ClayRat, се очерта като сериозна заплаха за потребителите, особено в Русия. Нападателите използват комбинация от Telegram канали и подобни фишинг уебсайтове, представяйки се за популярни приложения като WhatsApp, Google Photos, TikTok и YouTube, за да привлекат жертвите да инсталират зловредния софтуер.
Съдържание
Как се разпространява ClayRat
Веригата от атаки започва, когато нищо неподозиращи потребители биват пренасочвани към измамнически уебсайтове, които водят към Telegram канали, контролирани от нападателите. Тук жертвите биват подвеждани да изтеглят злонамерени APK файлове чрез:
- Изкуствено завишени бройки на изтеглянията
- Изфабрикувани препоръки, твърдящи популярността на приложението
Някои злонамерени сайтове се маскират, че предлагат подобрени версии на популярни приложения, като YouTube Plus, и хостват APK файлове, предназначени да заобиколят мерките за сигурност на устройства с Android 13 и по-нови версии.
Някои примерни версии на ClayRat функционират като дропери, представяйки леко приложение с фалшив екран за актуализации на Play Store. Действителният полезен товар е криптиран и скрит в активите на приложението, което позволява на зловредния софтуер да заобикаля ограниченията на платформата и да увеличава процента на успешна инсталация.
Злонамерени възможности
След като бъде инсталиран, ClayRat активира редица натрапчиви функционалности:
- Извлича SMS съобщения, дневници на обаждания, известия и информация за устройството
- Заснема снимки с предната камера
- Изпраща SMS съобщения или осъществява повиквания директно от заразеното устройство
- Събира списък с всички инсталирани приложения и го изпраща на сървъра за командване и контрол (C2).
Зловредният софтуер се разпространява агресивно, като изпраща злонамерени връзки до всеки контакт в телефонния указател на жертвата, като по този начин ефективно превръща компрометираните устройства в автоматизирани разпределителни възли.
Техническа сложност
Изследователи по сигурността са наблюдавали над 600 проби и 50 дроппера на ClayRat през последните 90 дни. Всяка нова итерация добавя слоеве на обфускация, което прави откриването по-трудно.
Комуникацията с C2 инфраструктурата разчита на стандартни HTTP протоколи, а зловредният софтуер изисква от потребителите да го направят SMS приложение по подразбиране, за да получат достъп до чувствително съдържание и функции за съобщения. Тези възможности позволяват на атакуващите да извършват наблюдение и да разширяват обхвата на зловредния софтуер без ръчна намеса.
Защитни мерки
Въпреки мощта си, ClayRat се защитава от Google Play Protect, който е активиран по подразбиране на устройства с Google Play Services. Play Protect автоматично защитава потребителите от известни версии на зловредния софтуер.
ClayRat представлява двойна заплаха: той шпионира жертвите, като едновременно с това превръща устройствата им в инструменти за по-нататъшно разпространение на зловреден софтуер. Комбинацията от социално инженерство, усъвършенствани техники за избягване и автоматизирано разпространение го прави страховит противник в пейзажа на заплахите за Android.
