Spyware ClayRat
Rychle se rozvíjející kampaň spywaru pro Android známá jako ClayRat se stala významnou hrozbou pro uživatele, zejména v Rusku. Útočníci využívají kombinaci telegramových kanálů a phishingových webových stránek, které se vydávají za populární aplikace, jako jsou WhatsApp, Fotky Google, TikTok a YouTube, aby nalákali oběti k instalaci malwaru.
Obsah
Jak se šíří ClayRat
Řetězec útoku začíná, když jsou nic netušící uživatelé přesměrováni na podvodné webové stránky, které odkazují na kanály Telegramu ovládané útočníky. Zde jsou oběti podvedeny ke stažení škodlivých souborů APK prostřednictvím:
- Uměle nafouknuté počty stažení
- Vymyšlené reference tvrdící popularitu aplikace
Některé škodlivé weby se maskují jako nabízející vylepšené verze populárních aplikací, jako je YouTube Plus, a hostují soubory APK určené k obcházení bezpečnostních opatření na zařízeních se systémem Android 13 a novějším.
Některé vzorky ClayRat fungují jako droppery, které zobrazují lehkou aplikaci s falešnou obrazovkou aktualizace Obchodu Play. Skutečné datové zatížení je šifrované a skryté v datech aplikace, což malwaru umožňuje obejít omezení platformy a zvýšit míru úspěšnosti instalace.
Škodlivé schopnosti
Po instalaci ClayRat aktivuje řadu rušivých funkcí:
- Získává SMS zprávy, protokoly hovorů, oznámení a informace o zařízení
- Pořizuje fotografie pomocí předního fotoaparátu
- Odesílá SMS zprávy nebo uskutečňuje hovory přímo z infikovaného zařízení
- Shromáždí seznam všech nainstalovaných aplikací a odešle jej na server Command-and-Control (C2).
Malware se také agresivně šíří odesíláním škodlivých odkazů na každý kontakt v telefonním seznamu oběti, čímž efektivně proměňuje napadená zařízení v automatizované distribuční uzly.
Technická sofistikovanost
Bezpečnostní výzkumníci za posledních 90 dní pozorovali přes 600 vzorků a 50 dropperů ClayRatu. Každá nová iterace přidává vrstvy obfuskace, což ztěžuje detekci.
Komunikace s infrastrukturou C2 se spoléhá na standardní protokoly HTTP a malware požaduje od uživatelů, aby si jej nastavili jako výchozí SMS aplikaci pro přístup k citlivému obsahu a funkcím zasílání zpráv. Tyto možnosti útočníkům umožňují provádět dohled a rozšiřovat dosah malwaru bez manuálního zásahu.
Ochranná opatření
Navzdory své účinnosti je ClayRat chráněn službou Google Play Protect, která je ve výchozím nastavení povolena na zařízeních se službami Google Play. Play Protect automaticky chrání uživatele před známými verzemi malwaru.
ClayRat představuje dvojí hrozbu: špehuje oběti a zároveň proměňuje jejich zařízení v nástroje pro další šíření malwaru. Jeho kombinace sociálního inženýrství, pokročilých technik úniku a automatizované distribuce z něj dělá silného protivníka v oblasti hrozeb pro Android.
