Vohunska programska oprema ClayRat
Hitro razvijajoča se kampanja vohunske programske opreme za Android, znana kot ClayRat, se je izkazala za veliko grožnjo uporabnikom, zlasti v Rusiji. Napadalci izkoriščajo kombinacijo kanalov Telegram in spletnih mest za lažno predstavljanje, pri čemer se izdajajo za priljubljene aplikacije, kot so WhatsApp, Google Photos, TikTok in YouTube, da bi žrtve zvabili v namestitev zlonamerne programske opreme.
Kazalo
Kako se ClayRat širi
Veriga napadov se začne, ko nič hudega sluteče uporabnike preusmerijo na goljufiva spletna mesta, ki se povezujejo s Telegram kanali, ki jih nadzorujejo napadalci. Tukaj žrtve prevarajo, da prenesejo zlonamerne datoteke APK prek:
- Umetno napihnjeno število prenosov
- Izmišljena pričevanja, ki trdijo, da je aplikacija priljubljena
Nekatera zlonamerna spletna mesta se pretvarjajo, da ponujajo izboljšane različice priljubljenih aplikacij, kot je YouTube Plus, in gostijo datoteke APK, namenjene zaobiti varnostne ukrepe v napravah s sistemom Android 13 in novejšimi.
Nekateri vzorci ClayRata delujejo kot kapljični programi, ki predstavljajo lahko aplikacijo s ponarejenim zaslonom za posodobitve Trgovine Play. Dejanski koristni tovor je šifriran in skrit znotraj sredstev aplikacije, kar omogoča zlonamerni programski opremi, da zaobide omejitve platforme in poveča stopnjo uspešnosti namestitve.
Zlonamerne zmogljivosti
Ko je ClayRat nameščen, aktivira vrsto vsiljivih funkcij:
- Izbriše SMS sporočila, dnevnike klicev, obvestila in podatke o napravi
- Snema fotografije s sprednjo kamero
- Pošilja SMS sporočila ali opravlja klice neposredno z okužene naprave
- Zbere seznam vseh nameščenih aplikacij in ga pošlje na strežnik Command-and-Control (C2).
Zlonamerna programska oprema se agresivno širi tudi s pošiljanjem zlonamernih povezav vsem stikom v telefonskem imeniku žrtve, s čimer ogrožene naprave učinkovito spremeni v avtomatizirana distribucijska vozlišča.
Tehnična dovršenost
Varnostni raziskovalci so v zadnjih 90 dneh opazovali več kot 600 vzorcev in 50 kapljic virusa ClayRat. Vsaka nova iteracija doda plasti zakrivanja, zaradi česar je odkrivanje težje.
Komunikacija z infrastrukturo C2 temelji na standardnih protokolih HTTP, zlonamerna programska oprema pa od uporabnikov zahteva, da jo nastavijo kot privzeto aplikacijo za SMS, da bi dobili dostop do občutljive vsebine in funkcij sporočanja. Te zmogljivosti napadalcem omogočajo izvajanje nadzora in širjenje dosega zlonamerne programske opreme brez ročnega posredovanja.
Zaščitni ukrepi
Kljub svoji moči ClayRat blaži Google Play Protect, ki je privzeto omogočen v napravah s storitvami Google Play. Play Protect samodejno ščiti uporabnike pred znanimi različicami zlonamerne programske opreme.
ClayRat predstavlja dvojno grožnjo: vohuni za žrtvami, hkrati pa njihove naprave spreminja v orodja za nadaljnje širjenje zlonamerne programske opreme. Zaradi kombinacije socialnega inženiringa, naprednih tehnik izogibanja in avtomatizirane distribucije je močan nasprotnik v okolju groženj za Android.
