ClayRati nuhkvara
Kiiresti arenev Androidi nuhkvarakampaania, mida tuntakse nime all ClayRat, on osutunud oluliseks ohuks kasutajatele, eriti Venemaal. Ründajad kasutavad ära Telegrami kanalite ja sarnaste andmepüügiveebisaitide kombinatsiooni, imiteerides populaarseid rakendusi nagu WhatsApp, Google Photos, TikTok ja YouTube, et meelitada ohvreid pahavara installima.
Sisukord
Kuidas ClayRat levib
Rünnakuahel algab sellest, et pahaaimamatud kasutajad suunatakse petturlikele veebisaitidele, mis lingivad ründajate kontrollitavatele Telegrami kanalitele. Siin petetakse ohvreid pahatahtlikke APK-faile alla laadima järgmiste meetodite abil:
- Kunstlikult suurendatud allalaadimiste arv
- Rakenduse populaarsust väidavad väljamõeldud iseloomustused
Mõned pahatahtlikud saidid teesklevad, et pakuvad populaarsete rakenduste (nt YouTube Plus) täiustatud versioone ja majutavad APK-faile, mis on loodud turvameetmete möödahiilimiseks seadmetes, kus töötab Android 13 või uuem versioon.
Teatud ClayRati näidised toimivad dropperitena, kuvades kerge rakenduse võltsitud Play poe värskendusekraaniga. Tegelik koormus on krüpteeritud ja peidetud rakenduse ressurssidesse, võimaldades pahavaral platvormi piirangutest mööda hiilida ja installimise edukust suurendada.
Pahatahtlikud võimed
Pärast installimist aktiveerib ClayRat mitmeid pealetükkivaid funktsioone:
- Välja filtreerib SMS-sõnumeid, kõnelogisid, teavitusi ja seadme teavet
- Jäädvustab fotosid esikaameraga
- Saadab SMS-sõnumeid või helistab otse nakatunud seadmest
- Kogub kõigi installitud rakenduste loendi ja saadab selle Command-and-Control (C2) serverisse
Pahavara levib agressiivselt ka pahatahtlike linkide saatmisega igale ohvri telefoniraamatus olevale kontaktile, muutes ohustatud seadmed sisuliselt automatiseeritud levitussõlmedeks.
Tehniline keerukus
Turvaeksperdid on viimase 90 päeva jooksul täheldanud üle 600 ClayRati proovi ja 50 tilgutit. Iga uus versioon lisab hägususe kihte, muutes tuvastamise raskemaks.
Suhtlus C2 infrastruktuuriga tugineb standardsetele HTTP-protokollidele ja pahavara palub kasutajatel muuta see tundlikule sisule ja sõnumsidefunktsioonidele juurdepääsu saamiseks vaike-SMS-rakenduseks. Need võimalused võimaldavad ründajatel teostada jälgimist ja laiendada pahavara ulatust ilma käsitsi sekkumiseta.
Kaitsemeetmed
Vaatamata oma tõhususele leevendab ClayRati ohtu Google Play Protect, mis on Google Play teenustega seadmetes vaikimisi lubatud. Play Protect kaitseb kasutajaid automaatselt pahavara teadaolevate versioonide eest.
ClayRat kujutab endast kahetist ohtu: see luurab ohvreid ja muudab samal ajal nende seadmed pahavara edasise levitamise tööriistadeks. Selle sotsiaalse manipuleerimise, täiustatud vargusvastaste ja automatiseeritud levitamise kombinatsioon teeb sellest Androidi ohumaastikul tugeva vastase.
