Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari espia ClayRat

Programari espia ClayRat

El Mezo el Programari maliciós mòbil, Programari espia
Traduir a:

Una campanya de programari espia per a Android, en ràpida evolució, coneguda com a ClayRat, ha emergit com una amenaça important per als usuaris, especialment a Rússia. Els atacants exploten una combinació de canals de Telegram i llocs web de phishing, fent-se passar per aplicacions populars com WhatsApp, Google Fotos, TikTok i YouTube per atraure les víctimes perquè instal·lin el programari maliciós.

Com es propaga ClayRat

La cadena d'atac comença quan usuaris desprevinguts són redirigits a llocs web fraudulents que enllacen a canals de Telegram controlats pels atacants. Aquí, les víctimes són enganyades perquè descarreguin fitxers APK maliciosos a través de:

  • Nombre de descàrregues inflat artificialment
  • Testimonis falsos que afirmen la popularitat de l'aplicació

Alguns llocs web maliciosos es fan passar per oferir versions millorades d'aplicacions populars, com ara YouTube Plus, i allotgen fitxers APK dissenyats per eludir les mesures de seguretat en dispositius amb Android 13 i versions posteriors.

Certs exemples de ClayRat funcionen com a droppers, presentant una aplicació lleugera amb una pantalla d'actualització falsa de Play Store. La càrrega útil real està xifrada i amagada dins dels recursos de l'aplicació, cosa que permet que el programari maliciós eludeixi les restriccions de la plataforma i augmenti les taxes d'èxit d'instal·lació.

Capacitats malicioses

Un cop instal·lat, ClayRat activa una sèrie de funcionalitats intrusives:

  • Exfiltra els missatges SMS, els registres de trucades, les notificacions i la informació del dispositiu
  • Fa fotos amb la càmera frontal
  • Envia missatges SMS o fa trucades directament des del dispositiu infectat
  • Recopila una llista de totes les aplicacions instal·lades i l'envia al servidor de comandament i control (C2).

El programari maliciós també es propaga agressivament enviant enllaços maliciosos a tots els contactes de la llibreta telefònica de la víctima, convertint efectivament els dispositius compromesos en nodes de distribució automatitzats.

Sofisticació tècnica

Investigadors de seguretat han observat més de 600 mostres i 50 gotejadors de ClayRat en els darrers 90 dies. Cada nova iteració afegeix capes d'ofuscació, cosa que dificulta la detecció.

La comunicació amb la infraestructura C2 es basa en protocols HTTP estàndard, i el programari maliciós demana als usuaris que la converteixin en l'aplicació SMS predeterminada per obtenir accés a contingut sensible i funcions de missatgeria. Aquestes capacitats permeten als atacants dur a terme vigilància i ampliar l'abast del programari maliciós sense intervenció manual.

Mesures de protecció

Malgrat la seva potència, ClayRat està mitigat per Google Play Protect, que està habilitat per defecte en dispositius amb Google Play Services. Play Protect protegeix automàticament els usuaris de versions conegudes del programari maliciós.

ClayRat representa una doble amenaça: espia les víctimes i, alhora, converteix els seus dispositius en eines per a una major propagació de programari maliciós. La seva combinació d'enginyeria social, tècniques d'evasió avançades i distribució automatitzada el converteix en un adversari formidable en el panorama d'amenaces d'Android.

Tendència

Versió de la vostra bústia de correu deixarà de ser...

Phishing, Correu brossa
Els estafadors en línia desenvolupen contínuament nous trucs per enganyar els usuaris i robar dades valuoses. Un exemple és l'estafa "Versió de la vostra bústia de correu es descontinuarà", una campanya de phishing dissenyada per obtenir credencials d'inici de sessió de víctimes desprevingudes. Els experts en ciberseguretat adverteixen que aquests missatges fraudulents no estan associats a cap...

Més vist

Carregant...