ClayRat Spionprogram
En snabbt växande Android-spionprogramkampanj, känd som ClayRat, har framstått som ett betydande hot mot användare, särskilt i Ryssland. Angripare utnyttjar en kombination av Telegram-kanaler och liknande nätfiskewebbplatser, och utger sig för att vara populära applikationer som WhatsApp, Google Foto, TikTok och YouTube för att locka offer att installera skadlig kod.
Innehållsförteckning
Hur ClayRat sprider sig
Attackkedjan börjar när intet ont anande användare omdirigeras till bedrägliga webbplatser som länkar till Telegram-kanaler som kontrolleras av angriparna. Här luras offren att ladda ner skadliga APK-filer genom:
- Konstgjort uppblåsta nedladdningsantal
- Påhittade vittnesmål som påstår sig ha en app som är populär
Vissa skadliga webbplatser utger sig för att erbjuda förbättrade versioner av populära appar, som YouTube Plus, och är värd för APK-filer som är utformade för att kringgå säkerhetsåtgärder på enheter som kör Android 13 och senare.
Vissa ClayRat-exempel fungerar som droppare och presenterar en lättviktig app med en falsk uppdateringsskärm i Play Store. Den faktiska nyttolasten är krypterad och dold i appens tillgångar, vilket gör att skadlig programvara kan kringgå plattformsrestriktioner och öka andelen framgångsrika installationer.
Skadliga funktioner
När ClayRat är installerat aktiverar det en rad påträngande funktioner:
- Exfiltrerar SMS-meddelanden, samtalsloggar, aviseringar och enhetsinformation
- Tar foton med den främre kameran
- Skickar SMS-meddelanden eller ringer samtal direkt från den infekterade enheten
- Samlar in en lista över alla installerade program och skickar den till kommando- och kontrollservern (C2).
Skadlig programvara sprider sig också aggressivt genom att skicka skadliga länkar till varje kontakt i offrets telefonbok, vilket effektivt förvandlar komprometterade enheter till automatiserade distributionsnoder.
Teknisk sofistikering
Säkerhetsforskare har observerat över 600 prover och 50 droppare av ClayRat under de senaste 90 dagarna. Varje ny iteration lägger till lager av förvirring, vilket gör upptäckten svårare.
Kommunikation med C2-infrastrukturen är beroende av standard HTTP-protokoll, och skadlig programvara ber användare att göra den till standard SMS-applikation för att få åtkomst till känsligt innehåll och meddelandefunktioner. Dessa funktioner gör det möjligt för angripare att utföra övervakning och utöka skadlig programvaras räckvidd utan manuell inblandning.
Skyddsåtgärder
Trots sin styrka skyddas ClayRat av Google Play Protect, som är aktiverat som standard på enheter med Google Play Services. Play Protect skyddar automatiskt användare från kända versioner av skadlig kod.
ClayRat representerar ett dubbelt hot: det spionerar på offer samtidigt som det förvandlar deras enheter till verktyg för ytterligare spridning av skadlig kod. Dess kombination av social ingenjörskonst, avancerade undvikande tekniker och automatiserad distribution gör det till en formidabel motståndare i Android-hotlandskapet.
