ClayRat šnipinėjimo programa
Sparčiai besivystanti „Android“ šnipinėjimo programų kampanija, žinoma kaip „ClayRat“, tapo didele grėsme vartotojams, ypač Rusijoje. Užpuolikai išnaudoja „Telegram“ kanalų ir panašių į sukčiavimo svetaines derinį, apsimesdami populiariomis programomis, tokiomis kaip „WhatsApp“, „Google Photos“, „TikTok“ ir „YouTube“, kad priviliotų aukas įdiegti kenkėjišką programą.
Turinys
Kaip plinta ClayRat
Atakų grandinė prasideda, kai nieko neįtariantys vartotojai nukreipiami į apgaulingas svetaines, kurios pateikia nuorodas į užpuolikų kontroliuojamus „Telegram“ kanalus. Čia aukos apgaule priverčiamos atsisiųsti kenkėjiškus APK failus šiais būdais:
- Dirbtinai padidintas atsisiuntimų skaičius
- Suklastoti atsiliepimai, kuriuose teigiama apie programėlės populiarumą
Kai kurios kenkėjiškos svetainės apsimeta siūlančios patobulintas populiarių programėlių, tokių kaip „YouTube Plus“, versijas ir talpina APK failus, skirtus apeiti saugumo priemones įrenginiuose, kuriuose veikia „Android 13“ ir naujesnės versijos.
Kai kurie „ClayRat“ pavyzdžiai veikia kaip „droppers“ tipo programos, pateikdami lengvą programėlę su netikru „Play Store“ atnaujinimo ekranu. Tikrasis turinys yra užšifruotas ir paslėptas programėlės resursuose, todėl kenkėjiška programa gali apeiti platformos apribojimus ir padidinti diegimo sėkmės rodiklius.
Kenkėjiškos galimybės
Įdiegus „ClayRat“, aktyvuojama daugybė įkyrių funkcijų:
- Išfiltruoja SMS žinutes, skambučių žurnalus, pranešimus ir įrenginio informaciją
- Fotografuoja naudodamas priekinę kamerą
- Siunčia SMS žinutes arba skambina tiesiai iš užkrėsto įrenginio
- Surenka visų įdiegtų programų sąrašą ir siunčia jį į komandų ir valdymo (C2) serverį.
Kenkėjiška programa taip pat agresyviai plinta siųsdama kenkėjiškas nuorodas į kiekvieną aukos telefonų knygoje esantį kontaktą, efektyviai paversdama pažeistus įrenginius automatizuotais platinimo mazgais.
Techninis išprusimas
Saugumo tyrėjai per pastarąsias 90 dienų stebėjo daugiau nei 600 „ClayRat“ pavyzdžių ir 50 jų lašintuvų. Kiekviena nauja versija prideda naujų obfuskacijos sluoksnių, todėl aptikimą apsunkina.
Ryšys su C2 infrastruktūra remiasi standartiniais HTTP protokolais, o kenkėjiška programa prašo vartotojų nustatyti ją kaip numatytąją SMS programą, kad gautų prieigą prie neskelbtino turinio ir pranešimų siuntimo funkcijų. Šios galimybės leidžia užpuolikams vykdyti stebėjimą ir išplėsti kenkėjiškos programos pasiekiamumą be rankinio įsikišimo.
Apsaugos priemonės
Nepaisant stiprumo, „ClayRat“ kenkėjišką programą apsaugo „Google Play Protect“, kuri pagal numatytuosius nustatymus įjungta įrenginiuose su „Google Play“ paslaugomis. „Play Protect“ automatiškai apsaugo vartotojus nuo žinomų kenkėjiškų programų versijų.
„ClayRat“ kelia dvigubą grėsmę: ji šnipinėja aukas ir tuo pačiu metu paverčia jų įrenginius įrankiais tolesniam kenkėjiškų programų platinimui. Socialinės inžinerijos, pažangių apėjimo metodų ir automatizuoto platinimo derinys paverčia ją grėsmingu priešininku „Android“ grėsmių pasaulyje.
