ClayRat spiegprogrammatūra
Strauji attīstoša Android spiegprogrammatūras kampaņa, kas pazīstama kā ClayRat, ir kļuvusi par būtisku draudu lietotājiem, īpaši Krievijā. Uzbrucēji izmanto Telegram kanālu un līdzīgu pikšķerēšanas vietņu kombināciju, atdarinot populāras lietotnes, piemēram, WhatsApp, Google Photos, TikTok un YouTube, lai pievilinātu upurus instalēt ļaunprogrammatūru.
Satura rādītājs
Kā ClayRat izplatās
Uzbrukumu ķēde sākas, kad neko nenojaušojoši lietotāji tiek novirzīti uz krāpnieciskām tīmekļa vietnēm, kas satur saites uz uzbrucēju kontrolētajiem Telegram kanāliem. Šeit upuri tiek apmānīti lejupielādēt ļaunprātīgus APK failus, izmantojot:
- Mākslīgi palielināts lejupielāžu skaits
- Safabricētas atsauksmes, kas apgalvo lietotnes popularitāti
Dažas ļaunprātīgas vietnes maskējas, ka piedāvā uzlabotas populāru lietotņu, piemēram, YouTube Plus, versijas, un mitina APK failus, kas izstrādāti, lai apietu drošības pasākumus ierīcēs, kurās darbojas Android 13 un jaunāka versija.
Daži ClayRat paraugi darbojas kā nometēji, parādot vieglu lietotni ar viltotu Play veikala atjauninājuma ekrānu. Faktiskais vērtums ir šifrēts un paslēpts lietotnes resursos, ļaujot ļaunprogrammatūrai apiet platformas ierobežojumus un palielināt instalēšanas veiksmes rādītājus.
Ļaunprātīgas iespējas
Pēc instalēšanas ClayRat aktivizē virkni uzmācīgu funkciju:
- Izfiltrē īsziņas, zvanu žurnālus, paziņojumus un ierīces informāciju
- Uzņem fotoattēlus, izmantojot priekšējo kameru
- Nosūta īsziņas vai veic zvanus tieši no inficētās ierīces
- Apkopo visu instalēto lietojumprogrammu sarakstu un nosūta to uz Command-and-Control (C2) serveri.
Ļaunprogrammatūra arī agresīvi izplatās, nosūtot ļaunprātīgas saites uz katru kontaktu upura tālruņu grāmatā, faktiski pārvēršot apdraudētās ierīces par automatizētiem izplatīšanas mezgliem.
Tehniskā izsmalcinātība
Drošības pētnieki pēdējo 90 dienu laikā ir novērojuši vairāk nekā 600 ClayRat paraugus un 50 pilinātājus. Katra jauna versija pievieno jaunus apmulsināšanas slāņus, apgrūtinot atklāšanu.
Saziņa ar C2 infrastruktūru balstās uz standarta HTTP protokoliem, un ļaunprogrammatūra pieprasa lietotājiem padarīt to par noklusējuma īsziņu lietojumprogrammu, lai piekļūtu sensitīvam saturam un ziņojumapmaiņas funkcijām. Šīs iespējas ļauj uzbrucējiem veikt novērošanu un paplašināt ļaunprogrammatūras darbības rādiusu bez manuālas iejaukšanās.
Aizsardzības pasākumi
Neskatoties uz ClayRat iedarbīgumu, to mazina Google Play Protect, kas pēc noklusējuma ir iespējots ierīcēs ar Google Play pakalpojumiem. Play Protect automātiski aizsargā lietotājus no zināmām ļaunprogrammatūras versijām.
ClayRat rada divējādus draudus: tas izspiego upurus un vienlaikus pārvērš viņu ierīces par rīkiem tālākai ļaunprogrammatūras izplatīšanai. Tā sociālās inženierijas, progresīvu apiešanas metožu un automatizētas izplatīšanas kombinācija padara to par spēcīgu pretinieku Android apdraudējumu ainavā.
