Špionážny softvér ClayRat
Rýchlo sa rozvíjajúca kampaň so špionážnym softvérom pre Android známa ako ClayRat sa stala významnou hrozbou pre používateľov, najmä v Rusku. Útočníci využívajú kombináciu telegramových kanálov a podobných phishingových webových stránok, ktoré sa vydávajú za populárne aplikácie ako WhatsApp, Fotky Google, TikTok a YouTube, aby nalákali obete k inštalácii malvéru.
Obsah
Ako sa šíri ClayRat
Útočný reťazec začína, keď sú nič netušiaci používatelia presmerovaní na podvodné webové stránky, ktoré odkazujú na kanály Telegramu kontrolované útočníkmi. Obeť sú tu oklamaná, aby si stiahla škodlivé súbory APK prostredníctvom:
- Umelo nafúknuté počty stiahnutí
- Vymyslené referencie tvrdiace, že aplikácia je populárna
Niektoré škodlivé stránky sa maskujú ako ponúkajúce vylepšené verzie populárnych aplikácií, ako je YouTube Plus, a hostia súbory APK určené na obchádzanie bezpečnostných opatrení na zariadeniach so systémom Android 13 a novším.
Niektoré vzorky ClayRat fungujú ako droppery, ktoré zobrazujú ľahkú aplikáciu s falošnou obrazovkou aktualizácie Obchodu Play. Skutočné užitočné zaťaženie je šifrované a skryté v zložkách aplikácie, čo umožňuje malvéru obísť obmedzenia platformy a zvýšiť mieru úspešnosti inštalácie.
Škodlivé schopnosti
Po nainštalovaní ClayRat aktivuje celý rad rušivých funkcií:
- Exfiltruje SMS správy, protokoly hovorov, oznámenia a informácie o zariadení
- Nahráva fotografie pomocou predného fotoaparátu
- Odosiela SMS správy alebo uskutočňuje hovory priamo z infikovaného zariadenia
- Zhromažďuje zoznam všetkých nainštalovaných aplikácií a odosiela ho na server Command-and-Control (C2).
Škodlivý softvér sa tiež agresívne šíri odosielaním škodlivých odkazov na každý kontakt v telefónnom zozname obete, čím efektívne premieňa napadnuté zariadenia na automatizované distribučné uzly.
Technická sofistikovanosť
Bezpečnostní výskumníci za posledných 90 dní pozorovali viac ako 600 vzoriek a 50 dropperov ClayRatu. Každá nová iterácia pridáva vrstvy zahmlievania, čo sťažuje detekciu.
Komunikácia s infraštruktúrou C2 sa spolieha na štandardné protokoly HTTP a malvér vyžaduje od používateľov, aby si ho nastavili ako predvolenú SMS aplikáciu na získanie prístupu k citlivému obsahu a funkciám odosielania správ. Tieto možnosti umožňujú útočníkom vykonávať dohľad a rozširovať dosah malvéru bez manuálneho zásahu.
Ochranné opatrenia
Napriek svojej účinnosti je ClayRat chránený službou Google Play Protect, ktorá je predvolene povolená na zariadeniach so službami Google Play. Play Protect automaticky chráni používateľov pred známymi verziami malvéru.
ClayRat predstavuje dvojitú hrozbu: špehuje obete a zároveň premieňa ich zariadenia na nástroje na ďalšie šírenie malvéru. Jeho kombinácia sociálneho inžinierstva, pokročilých techník úniku a automatizovanej distribúcie z neho robí silného protivníka v oblasti hrozieb pre Android.
