ClayRat 스파이웨어

ClayRat으로 알려진 빠르게 진화하는 안드로이드 스파이웨어 캠페인이 특히 러시아 사용자에게 심각한 위협으로 부상했습니다. 공격자는 텔레그램 채널과 유사한 피싱 웹사이트를 활용하여 WhatsApp, Google Photos, TikTok, YouTube와 같은 인기 앱을 사칭하여 피해자가 악성코드를 설치하도록 유도합니다.

ClayRat이 퍼지는 방식

공격 사슬은 의심하지 않는 사용자가 공격자가 제어하는 텔레그램 채널로 연결되는 사기성 웹사이트로 리디렉션되는 것으로 시작됩니다. 여기에서 피해자는 다음과 같은 방법으로 악성 APK 파일을 다운로드하도록 속습니다.

• 인위적으로 부풀려진 다운로드 수
• 앱 인기를 주장하는 조작된 추천서

일부 악성 사이트는 YouTube Plus와 같은 인기 앱의 향상된 버전을 제공하는 것처럼 위장하고 Android 13 이상을 실행하는 기기의 보안 조치를 우회하도록 설계된 APK 파일을 호스팅합니다.

일부 ClayRat 샘플은 드로퍼 역할을 하여 가벼운 앱에 가짜 Play 스토어 업데이트 화면을 표시합니다. 실제 페이로드는 암호화되어 앱 내부에 숨겨져 있어, 맬웨어가 플랫폼 제한을 우회하고 설치 성공률을 높일 수 있습니다.

악성 기능

ClayRat을 설치하면 다양한 침입적 기능이 활성화됩니다.

• SMS 메시지, 통화 기록, 알림 및 기기 정보를 유출합니다.
• 전면 카메라를 사용하여 사진을 촬영합니다.
• 감염된 기기에서 직접 SMS 메시지를 보내거나 전화를 겁니다.
• 설치된 모든 애플리케이션 목록을 수집하여 명령 및 제어(C2) 서버로 전송합니다.

또한 이 악성 소프트웨어는 피해자의 전화번호부에 있는 모든 연락처에 악성 링크를 보내 공격적으로 확산되며, 손상된 장치를 자동화된 배포 노드로 효과적으로 전환합니다.

기술적 정교함

보안 연구원들은 지난 90일 동안 ClayRat 샘플 600개 이상과 드롭퍼 50개를 관찰했습니다. 새로운 버전이 나올 때마다 난독화 계층이 추가되어 탐지가 더욱 어려워집니다.

C2 인프라와의 통신은 표준 HTTP 프로토콜을 사용하며, 악성코드는 사용자에게 민감한 콘텐츠 및 메시징 기능에 접근하기 위해 기본 SMS 애플리케이션으로 설정하도록 요청합니다. 이러한 기능을 통해 공격자는 수동 개입 없이 감시를 수행하고 악성코드의 활동 범위를 확장할 수 있습니다.

보호 조치

ClayRat은 그 위력에도 불구하고 Google Play 서비스가 설치된 기기에서 기본적으로 활성화되는 Google Play Protect를 통해 완화할 수 있습니다. Play Protect는 알려진 버전의 악성코드로부터 사용자를 자동으로 보호합니다.

ClayRat은 이중적인 위협을 나타냅니다. 피해자를 감시하는 동시에 피해자의 기기를 악성코드 확산 도구로 악용합니다. 소셜 엔지니어링, 첨단 우회 기법, 그리고 자동 배포가 결합된 ClayRat은 안드로이드 위협 환경에서 강력한 적대자로 자리매김했습니다.