ClayRat Spyware
Një fushatë spiune për Android, e njohur si ClayRat, që evoluon me shpejtësi, është shfaqur si një kërcënim i rëndësishëm për përdoruesit, veçanërisht në Rusi. Sulmuesit shfrytëzojnë një kombinim të kanaleve Telegram dhe faqeve të ngjashme me ato të phishing-ut, duke u imituar në aplikacione të njohura si WhatsApp, Google Photos, TikTok dhe YouTube për të joshur viktimat që të instalojnë malware-in.
Tabela e Përmbajtjes
Si përhapet ClayRat
Zinxhiri i sulmit fillon kur përdoruesit e pasigurt ridrejtohen në faqet mashtruese të internetit që lidhen me kanalet e Telegramit të kontrolluara nga sulmuesit. Këtu, viktimat mashtrohen për të shkarkuar skedarë APK me qëllim të keq përmes:
- Numërime shkarkimesh të fryra artificialisht
- Dëshmi të fabrikuara që pretendojnë popullaritetin e aplikacionit
Disa faqe keqdashëse maskohen sikur ofrojnë versione të përmirësuara të aplikacioneve të njohura, siç është YouTube Plus, dhe strehojnë skedarë APK të dizajnuar për të anashkaluar masat e sigurisë në pajisjet që përdorin Android 13 e lart.
Disa mostra të ClayRat funksionojnë si pikatore, duke paraqitur një aplikacion të lehtë me një ekran të rremë përditësimi të Play Store. Ngarkesa aktuale është e enkriptuar dhe e fshehur brenda aseteve të aplikacionit, duke i lejuar malware-it të anashkalojë kufizimet e platformës dhe të rrisë shkallën e suksesit të instalimit.
Aftësi të dëmshme
Pasi të instalohet, ClayRat aktivizon një gamë të gjerë funksionesh ndërhyrëse:
- Nxjerr mesazhet SMS, regjistrat e thirrjeve, njoftimet dhe informacionin e pajisjes
- Shkrep foto duke përdorur kamerën e përparme
- Dërgon mesazhe SMS ose bën thirrje direkt nga pajisja e infektuar
- Mbledh një listë të të gjitha aplikacioneve të instaluara dhe e dërgon atë në serverin Command-and-Control (C2).
Malware-i përhapet në mënyrë agresive duke dërguar lidhje dashakeqe në çdo kontakt në librin telefonik të viktimës, duke i kthyer në mënyrë efektive pajisjet e kompromentuara në nyje shpërndarjeje automatike.
Sofistikim Teknik
Studiuesit e sigurisë kanë vëzhguar mbi 600 mostra dhe 50 pikatore të ClayRat në 90 ditët e fundit. Çdo përsëritje e re shton shtresa të errësimit, duke e bërë zbulimin më të vështirë.
Komunikimi me infrastrukturën C2 mbështetet në protokollet standarde HTTP, dhe malware-i u kërkon përdoruesve ta bëjnë atë aplikacionin e parazgjedhur SMS për të fituar qasje në përmbajtje të ndjeshme dhe funksione mesazhesh. Këto aftësi u lejojnë sulmuesve të kryejnë mbikëqyrje dhe të zgjerojnë shtrirjen e malware-it pa ndërhyrje manuale.
Masat mbrojtëse
Pavarësisht fuqisë së tij, ClayRat zbutet nga Google Play Protect, i cili aktivizohet si parazgjedhje në pajisjet me Shërbimet Google Play. Play Protect mbron automatikisht përdoruesit nga versionet e njohura të malware-it.
ClayRat përfaqëson një kërcënim të dyfishtë: ai spiunon viktimat ndërsa njëkohësisht i shndërron pajisjet e tyre në mjete për përhapjen e mëtejshme të malware-it. Kombinimi i inxhinierisë sociale, teknikave të përparuara të shmangies dhe shpërndarjes së automatizuar e bën atë një kundërshtar të frikshëm në peizazhin e kërcënimeve Android.
