Špijunski softver ClayRat
Brzo rastuća kampanja špijunskog softvera za Android poznata kao ClayRat pojavila se kao značajna prijetnja korisnicima, posebno u Rusiji. Napadači iskorištavaju kombinaciju Telegram kanala i phishing web stranica koje su slične, lažno se predstavljajući kao popularne aplikacije poput WhatsAppa, Google fotografija, TikToka i YouTubea kako bi namamili žrtve da instaliraju zlonamjerni softver.
Sadržaj
Kako se ClayRat širi
Lanac napada započinje preusmjeravanjem ništa ne slutećih korisnika na lažne web stranice koje povezuju s Telegram kanalima koje kontroliraju napadači. Ovdje se žrtve prevarom navode na preuzimanje zlonamjernih APK datoteka putem:
- Umjetno napuhane brojke preuzimanja
- Izmišljena svjedočanstva koja tvrde da je aplikacija popularna
Neke zlonamjerne stranice maskiraju se kao da nude poboljšane verzije popularnih aplikacija, poput YouTube Plusa, i hostiraju APK datoteke osmišljene za zaobilaženje sigurnosnih mjera na uređajima s Androidom 13 i novijim verzijama.
Određeni primjeri ClayRata funkcioniraju kao dropperi, predstavljajući laganu aplikaciju s lažnim zaslonom za ažuriranje Trgovine Play. Stvarni sadržaj je šifriran i skriven unutar elemenata aplikacije, što omogućuje zlonamjernom softveru da zaobiđe ograničenja platforme i poveća stopu uspješnosti instalacije.
Zlonamjerne sposobnosti
Nakon instalacije, ClayRat aktivira niz nametljivih funkcionalnosti:
- Izvlači SMS poruke, zapise poziva, obavijesti i informacije o uređaju
- Snima fotografije prednjom kamerom
- Šalje SMS poruke ili upućuje pozive izravno sa zaraženog uređaja
- Prikuplja popis svih instaliranih aplikacija i šalje ga na Command-and-Control (C2) poslužitelj
Zlonamjerni softver se također agresivno širi slanjem zlonamjernih poveznica svakom kontaktu u telefonskom imeniku žrtve, učinkovito pretvarajući kompromitirane uređaje u automatizirane distribucijske čvorove.
Tehnička sofisticiranost
Sigurnosni istraživači su u proteklih 90 dana promatrali preko 600 uzoraka i 50 droppera ClayRata. Svaka nova iteracija dodaje slojeve obfuskacije, što otežava otkrivanje.
Komunikacija s C2 infrastrukturom oslanja se na standardne HTTP protokole, a zlonamjerni softver traži od korisnika da ga postave kao zadanu SMS aplikaciju kako bi dobili pristup osjetljivom sadržaju i funkcijama razmjene poruka. Ove mogućnosti omogućuju napadačima provođenje nadzora i proširenje dosega zlonamjernog softvera bez ručne intervencije.
Zaštitne mjere
Unatoč svojoj potentnosti, ClayRat je zaštićen Google Play Protectom, koji je prema zadanim postavkama omogućen na uređajima s Google Play uslugama. Play Protect automatski štiti korisnike od poznatih verzija zlonamjernog softvera.
ClayRat predstavlja dvostruku prijetnju: špijunira žrtve i istovremeno pretvara njihove uređaje u alate za daljnje širenje zlonamjernog softvera. Njegova kombinacija društvenog inženjeringa, naprednih tehnika izbjegavanja i automatizirane distribucije čini ga opasnim protivnikom u svijetu prijetnji za Android.
