ClayRat kémprogram
A ClayRat néven ismert, gyorsan fejlődő Android kémprogram-kampány jelentős fenyegetést jelent a felhasználók számára, különösen Oroszországban. A támadók Telegram-csatornák és hasonmás adathalász weboldalak kombinációját használják ki, olyan népszerű alkalmazásoknak adva ki magukat, mint a WhatsApp, a Google Fotók, a TikTok és a YouTube, hogy az áldozatokat a rosszindulatú program telepítésére csábítsák.
Tartalomjegyzék
Hogyan terjed a ClayRat?
A támadási lánc akkor kezdődik, amikor a gyanútlan felhasználókat átirányítják csaló weboldalakra, amelyek a támadók által ellenőrzött Telegram-csatornákra mutatnak. Itt az áldozatokat a következő módon veszik rá, hogy rosszindulatú APK-fájlokat töltsenek le:
- Mesterségesen megnövelt letöltési számok
- Kitalált ajánlások, amelyek az alkalmazás népszerűségét állítják
Néhány rosszindulatú webhely úgy álcázza magát, mintha népszerű alkalmazások, például a YouTube Plus továbbfejlesztett verzióit kínálná, és olyan APK-fájlokat tárol, amelyek célja az Android 13-as vagy újabb rendszert futtató eszközök biztonsági intézkedéseinek megkerülése.
Bizonyos ClayRat minták dropperként működnek, egy könnyű alkalmazást jelenítve meg egy hamis Play Áruház frissítési képernyővel. A tényleges hasznos adat titkosítva van és elrejtve az alkalmazás erőforrásaiban, lehetővé téve a rosszindulatú program számára, hogy megkerülje a platformkorlátozásokat és növelje a telepítési siker arányát.
Rosszindulatú képességek
A telepítés után a ClayRat számos tolakodó funkciót aktivál:
- Kiszivárogtatja az SMS-üzeneteket, hívásnaplókat, értesítéseket és eszközinformációkat
- Fényképeket készít az előlapi kamerával
- SMS-eket küld vagy hívásokat kezdeményez közvetlenül a fertőzött eszközről
- Összegyűjti az összes telepített alkalmazás listáját, és elküldi azt a Command-and-Control (C2) szervernek.
A rosszindulatú program agresszíven is terjed, rosszindulatú linkeket küld az áldozat telefonkönyvében szereplő összes névjegyre, így a feltört eszközöket automatizált terjesztési csomópontokká alakítja.
Műszaki kifinomultság
Biztonsági kutatók több mint 600 ClayRat mintát és 50 cseppentőt figyeltek meg az elmúlt 90 napban. Minden új iteráció további obfuszkálási rétegeket ad hozzá, ami megnehezíti a felderítést.
A C2 infrastruktúrával való kommunikáció szabványos HTTP protokollokon alapul, és a rosszindulatú program arra kéri a felhasználókat, hogy tegyék azt alapértelmezett SMS-alkalmazássá, hogy hozzáférhessenek a bizalmas tartalmakhoz és az üzenetküldési funkciókhoz. Ezek a képességek lehetővé teszik a támadók számára a megfigyelést és a rosszindulatú program hatókörének kiterjesztését manuális beavatkozás nélkül.
Védelmi intézkedések
Hatékonysága ellenére a ClayRat-et a Google Play Protect mérsékli, amely alapértelmezés szerint engedélyezve van a Google Play Szolgáltatásokat futtató eszközökön. A Play Protect automatikusan megvédi a felhasználókat a rosszindulatú program ismert verzióitól.
A ClayRat kettős fenyegetést jelent: kémkedik az áldozatok után, miközben eszközeiket a további rosszindulatú programok terjesztésének eszközeivé alakítja. A szociális manipuláció, a fejlett kijátszási technikák és az automatizált terjesztés kombinációja félelmetes ellenféllé teszi az Android fenyegetési környezetében.
