Шпијунски софтвер ClayRat
Брзо еволуирајућа кампања шпијунског софтвера за Андроид, позната као ClayRat, појавила се као значајна претња корисницима, посебно у Русији. Нападачи користе комбинацију Телеграм канала и сличних фишинг веб-сајтова, представљајући се као популарне апликације као што су WhatsApp, Google Photos, TikTok и YouTube како би намамили жртве да инсталирају злонамерни софтвер.
Преглед садржаја
Како се глинени пацов шири
Ланац напада почиње када се неопрезни корисници преусмеравају на лажне веб странице које воде до Телеграм канала које контролишу нападачи. Овде се жртве преваром наводе да преузму злонамерне APK датотеке путем:
- Вештачки увећан број преузимања
- Измишљене изјаве које тврде да је апликација популарна
Неки злонамерни сајтови се маскирају као да нуде побољшане верзије популарних апликација, као што је YouTube Plus, и хостују APK датотеке дизајниране да заобиђу безбедносне мере на уређајима који користе Android 13 и новије верзије.
Одређени примери ClayRat-а функционишу као дропери, представљајући лагану апликацију са лажним екраном за ажурирање Play продавнице. Стварни садржај је шифрован и скривен унутар ресурса апликације, што омогућава злонамерном софтверу да заобиђе ограничења платформе и повећа стопу успешности инсталације.
Злонамерне могућности
Једном инсталиран, ClayRat активира низ интрузивних функционалности:
- Издваја СМС поруке, евиденције позива, обавештења и информације о уређају
- Снима фотографије помоћу предње камере
- Шаље СМС поруке или упућује позиве директно са зараженог уређаја
- Прикупља листу свих инсталираних апликација и шаље је на командно-контролни (C2) сервер
Злонамерни софтвер се такође агресивно шири слањем злонамерних линкова сваком контакту у телефонском именику жртве, ефикасно претварајући компромитоване уређаје у аутоматизоване дистрибутивне чворове.
Техничка софистицираност
Истраживачи безбедности су посматрали преко 600 узорака и 50 испуштања ClayRat-а у протеклих 90 дана. Свака нова итерација додаје слојеве обфускације, што отежава откривање.
Комуникација са C2 инфраструктуром ослања се на стандардне HTTP протоколе, а злонамерни софтвер захтева од корисника да га поставе као подразумевану SMS апликацију како би добили приступ осетљивом садржају и функцијама размене порука. Ове могућности омогућавају нападачима да спроводе надзор и проширују домет злонамерног софтвера без ручне интервенције.
Заштитне мере
Упркос својој снази, ClayRat је ублажен помоћу Google Play Protect-а, који је подразумевано омогућен на уређајима са Google Play услугама. Play Protect аутоматски штити кориснике од познатих верзија злонамерног софтвера.
ClayRat представља двоструку претњу: шпијунира жртве док истовремено претвара њихове уређаје у алате за даље ширење злонамерног софтвера. Његова комбинација социјалног инжењеринга, напредних техника избегавања и аутоматизоване дистрибуције чини га страшним противником у свету претњи за Андроид.
