Шпионское ПО ClayRat
Стремительно развивающаяся кампания шпионского ПО для Android, известная как ClayRat, стала серьёзной угрозой для пользователей, особенно в России. Злоумышленники используют сочетание каналов в Telegram и похожих фишинговых сайтов, выдавая себя за популярные приложения, такие как WhatsApp, Google Photos, TikTok и YouTube, чтобы заставить жертв установить вредоносное ПО.
Оглавление
Как распространяется ClayRat
Цепочка атак начинается с того, что ничего не подозревающие пользователи перенаправляются на мошеннические веб-сайты, ссылающиеся на каналы Telegram, контролируемые злоумышленниками. Здесь жертв обманным путем заставляют загрузить вредоносные APK-файлы с помощью:
- Искусственно завышенное количество загрузок
- Сфабрикованные отзывы о популярности приложения
Некоторые вредоносные сайты маскируются под расширенные версии популярных приложений, таких как YouTube Plus, и размещают APK-файлы, предназначенные для обхода мер безопасности на устройствах под управлением Android 13 и более поздних версий.
Некоторые образцы ClayRat работают как дропперы, представляя собой легковесное приложение с поддельным экраном обновления Play Store. Фактически полезная нагрузка зашифрована и скрыта в ресурсах приложения, что позволяет вредоносному ПО обходить ограничения платформы и повышать вероятность успешной установки.
Вредоносные возможности
После установки ClayRat активирует ряд дополнительных функций:
- Извлекает SMS-сообщения, журналы вызовов, уведомления и информацию об устройстве.
- Делает фотографии с помощью фронтальной камеры
- Отправляет SMS-сообщения или совершает звонки непосредственно с зараженного устройства.
- Собирает список всех установленных приложений и отправляет его на сервер управления и контроля (C2).
Вредоносное ПО также агрессивно распространяется, отправляя вредоносные ссылки каждому контакту в телефонной книге жертвы, фактически превращая взломанные устройства в автоматизированные узлы распространения.
Техническая сложность
За последние 90 дней специалисты по безопасности обнаружили более 600 образцов и 50 дропперов ClayRat. Каждая новая версия добавляет уровни обфускации, затрудняя обнаружение.
Связь с инфраструктурой C2 осуществляется по стандартным протоколам HTTP, и вредоносная программа запрашивает у пользователей установку SMS-приложения по умолчанию для доступа к конфиденциальному контенту и функциям обмена сообщениями. Эти возможности позволяют злоумышленникам вести наблюдение и расширять зону действия вредоносной программы без ручного вмешательства.
Защитные меры
Несмотря на свою мощь, ClayRat нейтрализуется Google Play Protect, который по умолчанию включен на устройствах с сервисами Google Play. Play Protect автоматически защищает пользователей от известных версий этого вредоносного ПО.
ClayRat представляет двойную угрозу: он шпионит за жертвами и одновременно превращает их устройства в инструменты для дальнейшего распространения вредоносного ПО. Сочетание социальной инженерии, продвинутых методов уклонения от атак и автоматизированного распространения делает его грозным противником среди угроз для Android.
