Perisian Perisik ClayRat
Kempen perisian intip Android yang berkembang pesat dikenali sebagai ClayRat telah muncul sebagai ancaman besar kepada pengguna, khususnya di Rusia. Penyerang mengeksploitasi gabungan saluran Telegram dan tapak web pancingan data yang serupa, menyamar sebagai aplikasi popular seperti WhatsApp, Google Photos, TikTok dan YouTube untuk menarik mangsa memasang perisian hasad.
Isi kandungan
Bagaimana ClayRat Merebak
Rantaian serangan bermula apabila pengguna yang tidak curiga dialihkan ke laman web penipuan yang memaut ke saluran Telegram yang dikawal oleh penyerang. Di sini, mangsa diperdaya untuk memuat turun fail APK berniat jahat melalui:
- Kiraan muat turun yang melambung secara buatan
- Testimoni rekaan yang mendakwa populariti apl
Sesetengah tapak berniat jahat menyamar sebagai menawarkan versi dipertingkatkan apl popular, seperti YouTube Plus dan fail APK hos yang direka bentuk untuk memintas langkah keselamatan pada peranti yang menjalankan Android 13 dan lebih baharu.
Sampel ClayRat tertentu berfungsi sebagai penitis, mempersembahkan apl ringan dengan skrin kemas kini Gedung Play palsu. Muatan sebenar disulitkan dan disembunyikan dalam aset apl, membolehkan perisian hasad memintas sekatan platform dan meningkatkan kadar kejayaan pemasangan.
Keupayaan Hasad
Setelah dipasang, ClayRat mengaktifkan pelbagai fungsi mengganggu:
- Mengeluarkan mesej SMS, log panggilan, pemberitahuan dan maklumat peranti
- Menangkap foto menggunakan kamera hadapan
- Menghantar mesej SMS atau membuat panggilan terus dari peranti yang dijangkiti
- Mengumpul senarai semua aplikasi yang dipasang dan menghantarnya ke pelayan Command-and-Control (C2).
Perisian hasad juga secara agresif menyebarkan dirinya dengan menghantar pautan berniat jahat kepada setiap kenalan dalam buku telefon mangsa, dengan berkesan mengubah peranti yang terjejas menjadi nod pengedaran automatik.
Kecanggihan Teknikal
Penyelidik keselamatan telah memerhatikan lebih 600 sampel dan 50 penitis ClayRat dalam tempoh 90 hari yang lalu. Setiap lelaran baharu menambah lapisan pengeliruan, menjadikan pengesanan lebih sukar.
Komunikasi dengan infrastruktur C2 bergantung pada protokol HTTP standard, dan perisian hasad meminta pengguna menjadikannya aplikasi SMS lalai untuk mendapatkan akses kepada kandungan sensitif dan fungsi pemesejan. Keupayaan ini membolehkan penyerang menjalankan pengawasan dan meluaskan jangkauan perisian hasad tanpa campur tangan manual.
Langkah-langkah Perlindungan
Walaupun potensinya, ClayRat dikurangkan oleh Google Play Protect, yang didayakan secara lalai pada peranti dengan Perkhidmatan Google Play. Play Protect melindungi pengguna secara automatik daripada versi perisian hasad yang diketahui.
ClayRat mewakili dua ancaman: ia mengintip mangsa sambil pada masa yang sama menukar peranti mereka menjadi alat untuk penyebaran perisian hasad selanjutnya. Gabungan kejuruteraan sosial, teknik pengelakan lanjutan dan pengedaran automatik menjadikannya musuh yang hebat dalam landskap ancaman Android.
