Spyware ClayRat
Una campagna spyware per Android in rapida evoluzione, nota come ClayRat, si è rivelata una minaccia significativa per gli utenti, in particolare in Russia. Gli aggressori sfruttano una combinazione di canali Telegram e siti web di phishing simili, impersonando applicazioni popolari come WhatsApp, Google Foto, TikTok e YouTube per indurre le vittime a installare il malware.
Sommario
Come si diffonde ClayRat
La catena di attacco inizia quando gli utenti ignari vengono reindirizzati a siti web fraudolenti che rimandano a canali Telegram controllati dagli aggressori. Qui, le vittime vengono indotte a scaricare file APK dannosi tramite:
- Conteggi dei download gonfiati artificialmente
- Testimonianze inventate che rivendicano la popolarità dell'app
Alcuni siti dannosi si spacciano per versioni migliorate di app popolari, come YouTube Plus, e ospitano file APK progettati per aggirare le misure di sicurezza sui dispositivi con Android 13 e versioni successive.
Alcuni campioni di ClayRat funzionano come dropper, presentando un'app leggera con una falsa schermata di aggiornamento del Play Store. Il payload effettivo è crittografato e nascosto all'interno delle risorse dell'app, consentendo al malware di aggirare le restrizioni della piattaforma e aumentare le percentuali di successo dell'installazione.
Capacità dannose
Una volta installato, ClayRat attiva una serie di funzionalità invasive:
- Estrae messaggi SMS, registri delle chiamate, notifiche e informazioni sul dispositivo
- Cattura foto utilizzando la fotocamera frontale
- Invia messaggi SMS o effettua chiamate direttamente dal dispositivo infetto
- Raccoglie un elenco di tutte le applicazioni installate e lo invia al server di comando e controllo (C2)
Il malware si propaga in modo aggressivo inviando link dannosi a ogni contatto presente nella rubrica della vittima, trasformando di fatto i dispositivi compromessi in nodi di distribuzione automatizzati.
Sofisticatezza tecnica
I ricercatori di sicurezza hanno osservato oltre 600 campioni e 50 dropper di ClayRat negli ultimi 90 giorni. Ogni nuova iterazione aggiunge livelli di offuscamento, rendendo più difficile il rilevamento.
La comunicazione con l'infrastruttura C2 si basa su protocolli HTTP standard e il malware richiede agli utenti di impostarla come applicazione SMS predefinita per accedere a contenuti sensibili e funzioni di messaggistica. Queste funzionalità consentono agli aggressori di condurre attività di sorveglianza ed espandere la portata del malware senza intervento manuale.
Misure di protezione
Nonostante la sua potenza, ClayRat è mitigato da Google Play Protect, abilitato di default sui dispositivi con Google Play Services. Play Protect protegge automaticamente gli utenti dalle versioni note del malware.
ClayRat rappresenta una doppia minaccia: spia le vittime e, allo stesso tempo, trasforma i loro dispositivi in strumenti per l'ulteriore propagazione del malware. La sua combinazione di ingegneria sociale, tecniche di elusione avanzate e distribuzione automatizzata lo rende un avversario formidabile nel panorama delle minacce Android.
