ClayRat Spyware
Een snel evoluerende Android-spywarecampagne, bekend als ClayRat, is uitgegroeid tot een aanzienlijke bedreiging voor gebruikers, met name in Rusland. Aanvallers maken gebruik van een combinatie van Telegram-kanalen en phishingwebsites die lijken op vergelijkbare apps, waarbij ze zich voordoen als populaire applicaties zoals WhatsApp, Google Photos, TikTok en YouTube om slachtoffers te verleiden de malware te installeren.
Inhoudsopgave
Hoe ClayRat zich verspreidt
De aanvalsketen begint wanneer nietsvermoedende gebruikers worden omgeleid naar frauduleuze websites die linken naar Telegram-kanalen die door de aanvallers worden beheerd. Hier worden slachtoffers misleid om schadelijke APK-bestanden te downloaden via:
- Kunstmatig opgeblazen downloadaantallen
- Gefabriceerde getuigenissen die beweren dat de app populair is
Sommige kwaadaardige sites doen zich voor als aanbieders van verbeterde versies van populaire apps, zoals YouTube Plus, en hosten APK-bestanden die zijn ontworpen om beveiligingsmaatregelen te omzeilen op apparaten met Android 13 en hoger.
Bepaalde ClayRat-samples fungeren als droppers en presenteren een lichtgewicht app met een nep-updatescherm in de Play Store. De daadwerkelijke payload is versleuteld en verborgen in de app-assets, waardoor de malware platformbeperkingen kan omzeilen en de kans op succesvolle installatie vergroot.
Kwaadaardige mogelijkheden
Na installatie activeert ClayRat een reeks opdringerige functionaliteiten:
- Exfiltreert sms-berichten, oproeplogboeken, meldingen en apparaatgegevens
- Maakt foto's met de camera aan de voorkant
- Stuurt sms-berichten of belt rechtstreeks vanaf het geïnfecteerde apparaat
- Verzamelt een lijst met alle geïnstalleerde applicaties en stuurt deze naar de Command-and-Control (C2)-server
De malware verspreidt zichzelf ook op agressieve wijze door schadelijke koppelingen te sturen naar alle contactpersonen in het telefoonboek van het slachtoffer. Zo worden gecompromitteerde apparaten in feite geautomatiseerde distributieknooppunten.
Technische verfijning
Beveiligingsonderzoekers hebben de afgelopen 90 dagen meer dan 600 samples en 50 droppers van ClayRat geobserveerd. Elke nieuwe iteratie voegt lagen van verduistering toe, waardoor detectie moeilijker wordt.
Communicatie met de C2-infrastructuur is afhankelijk van standaard HTTP-protocollen en de malware vraagt gebruikers om deze als standaard sms-applicatie in te stellen om toegang te krijgen tot gevoelige content en berichtenfuncties. Deze mogelijkheden stellen aanvallers in staat om toezicht te houden en het bereik van de malware uit te breiden zonder handmatige tussenkomst.
Beschermende maatregelen
Ondanks zijn potentie wordt ClayRat gemitigeerd door Google Play Protect, dat standaard is ingeschakeld op apparaten met Google Play Services. Play Protect beschermt gebruikers automatisch tegen bekende versies van de malware.
ClayRat vormt een dubbele bedreiging: het bespioneert slachtoffers en gebruikt hun apparaten tegelijkertijd als hulpmiddelen voor verdere verspreiding van malware. De combinatie van social engineering, geavanceerde ontwijkingstechnieken en geautomatiseerde distributie maakt het een geduchte tegenstander in het Android-dreigingslandschap.
