ClayRat स्पाइवेयर
क्लेरैट नामक एक तेज़ी से विकसित हो रहा एंड्रॉइड स्पाइवेयर अभियान, विशेष रूप से रूस में, उपयोगकर्ताओं के लिए एक बड़ा ख़तरा बनकर उभरा है। हमलावर टेलीग्राम चैनलों और समान दिखने वाली फ़िशिंग वेबसाइटों के संयोजन का फ़ायदा उठाते हैं, और व्हाट्सएप, गूगल फ़ोटोज़, टिकटॉक और यूट्यूब जैसे लोकप्रिय ऐप्स का रूप धारण करके पीड़ितों को मैलवेयर इंस्टॉल करने के लिए लुभाते हैं।
विषयसूची
क्लेरैट कैसे फैलता है
हमलों की श्रृंखला तब शुरू होती है जब अनजान उपयोगकर्ताओं को उन धोखाधड़ी वाली वेबसाइटों पर भेज दिया जाता है जो हमलावरों द्वारा नियंत्रित टेलीग्राम चैनलों से जुड़ी होती हैं। यहाँ, पीड़ितों को निम्नलिखित तरीकों से दुर्भावनापूर्ण APK फ़ाइलें डाउनलोड करने के लिए प्रेरित किया जाता है:
- कृत्रिम रूप से बढ़ाई गई डाउनलोड संख्या
- ऐप की लोकप्रियता का दावा करने वाले मनगढ़ंत प्रशंसापत्र
कुछ दुर्भावनापूर्ण साइटें लोकप्रिय ऐप्स के उन्नत संस्करण, जैसे कि यूट्यूब प्लस, की पेशकश करने का दिखावा करती हैं और एंड्रॉइड 13 और उसके बाद के संस्करण चलाने वाले उपकरणों पर सुरक्षा उपायों को दरकिनार करने के लिए डिज़ाइन की गई एपीके फ़ाइलों को होस्ट करती हैं।
कुछ क्लेरैट नमूने ड्रॉपर की तरह काम करते हैं, जो एक हल्के ऐप को नकली प्ले स्टोर अपडेट स्क्रीन के साथ प्रस्तुत करते हैं। वास्तविक पेलोड एन्क्रिप्टेड होता है और ऐप के एसेट में छिपा होता है, जिससे मैलवेयर प्लेटफ़ॉर्म प्रतिबंधों को दरकिनार कर सकता है और इंस्टॉलेशन की सफलता दर बढ़ा सकता है।
दुर्भावनापूर्ण क्षमताएँ
एक बार स्थापित होने के बाद, क्लेरैट कई प्रकार की हस्तक्षेपकारी कार्यात्मकताओं को सक्रिय करता है:
- एसएमएस संदेश, कॉल लॉग, सूचनाएं और डिवाइस की जानकारी निकालता है
- फ्रंट कैमरे का उपयोग करके फ़ोटो कैप्चर करता है
- संक्रमित डिवाइस से सीधे SMS संदेश भेजता है या कॉल करता है
- सभी इंस्टॉल किए गए एप्लिकेशन की सूची एकत्र करता है और उसे कमांड-एंड-कंट्रोल (C2) सर्वर पर भेजता है
मैलवेयर पीड़ित की फोनबुक में प्रत्येक संपर्क को दुर्भावनापूर्ण लिंक भेजकर आक्रामक रूप से अपना प्रसार करता है, तथा प्रभावित डिवाइसों को स्वचालित वितरण नोड्स में बदल देता है।
तकनीकी परिष्कार
सुरक्षा शोधकर्ताओं ने पिछले 90 दिनों में क्लेरैट के 600 से ज़्यादा नमूनों और 50 ड्रॉपरों का अवलोकन किया है। हर नई पुनरावृत्ति के साथ अस्पष्टता की परतें जुड़ती जा रही हैं, जिससे पहचान और भी मुश्किल होती जा रही है।
C2 इन्फ्रास्ट्रक्चर के साथ संचार मानक HTTP प्रोटोकॉल पर निर्भर करता है, और मैलवेयर उपयोगकर्ताओं से संवेदनशील सामग्री और संदेश भेजने की सुविधाओं तक पहुँच प्राप्त करने के लिए इसे डिफ़ॉल्ट SMS एप्लिकेशन बनाने का अनुरोध करता है। ये क्षमताएँ हमलावरों को बिना किसी मानवीय हस्तक्षेप के निगरानी करने और मैलवेयर की पहुँच बढ़ाने में सक्षम बनाती हैं।
सुरक्षात्मक उपाय
अपनी क्षमता के बावजूद, क्लेरैट को गूगल प्ले प्रोटेक्ट द्वारा कम किया जाता है, जो गूगल प्ले सेवाओं वाले उपकरणों पर डिफ़ॉल्ट रूप से सक्षम होता है। प्ले प्रोटेक्ट स्वचालित रूप से उपयोगकर्ताओं को मैलवेयर के ज्ञात संस्करणों से बचाता है।
क्लेरैट दोहरा खतरा पेश करता है: यह पीड़ितों की जासूसी करता है और साथ ही उनके उपकरणों को मैलवेयर फैलाने के लिए उपकरण में बदल देता है। सोशल इंजीनियरिंग, उन्नत बचाव तकनीकों और स्वचालित वितरण का इसका संयोजन इसे एंड्रॉइड ख़तरे के क्षेत्र में एक दुर्जेय प्रतिद्वंद्वी बनाता है।
