สปายแวร์ ClayRat

แคมเปญสปายแวร์บนแอนดรอยด์ที่พัฒนาอย่างรวดเร็วที่รู้จักกันในชื่อ ClayRat ได้กลายมาเป็นภัยคุกคามสำคัญต่อผู้ใช้ โดยเฉพาะอย่างยิ่งในรัสเซีย ผู้โจมตีใช้ประโยชน์จากช่องทาง Telegram และเว็บไซต์ฟิชชิ่งปลอม โดยปลอมตัวเป็นแอปพลิเคชันยอดนิยม เช่น WhatsApp, Google Photos, TikTok และ YouTube เพื่อล่อลวงเหยื่อให้ติดตั้งมัลแวร์

ClayRat แพร่กระจายอย่างไร

ห่วงโซ่การโจมตีเริ่มต้นขึ้นเมื่อผู้ใช้ที่ไม่ทันระวังตัวถูกเปลี่ยนเส้นทางไปยังเว็บไซต์หลอกลวงที่เชื่อมโยงไปยังช่องทาง Telegram ที่ผู้โจมตีควบคุมอยู่ ในกรณีนี้ เหยื่อจะถูกหลอกให้ดาวน์โหลดไฟล์ APK ที่เป็นอันตรายผ่าน:

• จำนวนการดาวน์โหลดที่เพิ่มเกินจริง
• คำรับรองที่ถูกสร้างขึ้นเพื่ออ้างถึงความนิยมของแอป

ไซต์อันตรายบางแห่งปลอมตัวมาโดยเสนอแอปยอดนิยมเวอร์ชันปรับปรุง เช่น YouTube Plus และโฮสต์ไฟล์ APK ที่ออกแบบมาเพื่อหลีกเลี่ยงมาตรการรักษาความปลอดภัยบนอุปกรณ์ที่ใช้ Android 13 ขึ้นไป

ตัวอย่าง ClayRat บางตัวทำหน้าที่เป็นดรอปเปอร์ โดยนำเสนอแอปน้ำหนักเบาพร้อมหน้าจออัปเดต Play Store ปลอม เพย์โหลดจริงถูกเข้ารหัสและซ่อนไว้ในทรัพยากรของแอป ทำให้มัลแวร์สามารถข้ามข้อจำกัดของแพลตฟอร์มและเพิ่มอัตราความสำเร็จในการติดตั้งได้

ความสามารถที่เป็นอันตราย

เมื่อติดตั้งแล้ว ClayRat จะเปิดใช้งานฟังก์ชันรบกวนต่างๆ ดังนี้:

• ขโมยข้อความ SMS บันทึกการโทร การแจ้งเตือน และข้อมูลอุปกรณ์
• ถ่ายภาพโดยใช้กล้องด้านหน้า
• ส่งข้อความ SMS หรือโทรออกจากอุปกรณ์ที่ติดไวรัสโดยตรง
• รวบรวมรายชื่อแอปพลิเคชันที่ติดตั้งทั้งหมดและส่งไปยังเซิร์ฟเวอร์ Command-and-Control (C2)

นอกจากนี้มัลแวร์ยังแพร่กระจายตัวเองอย่างรวดเร็วด้วยการส่งลิงก์ที่เป็นอันตรายไปยังผู้ติดต่อทุกคนในสมุดโทรศัพท์ของเหยื่อ โดยเปลี่ยนอุปกรณ์ที่ถูกบุกรุกให้กลายเป็นโหนดแจกจ่ายอัตโนมัติอย่างมีประสิทธิภาพ

ความซับซ้อนทางเทคนิค

นักวิจัยด้านความปลอดภัยได้สังเกตตัวอย่างมากกว่า 600 ตัวอย่างและหยด ClayRat จำนวน 50 หยดในช่วง 90 วันที่ผ่านมา การทำซ้ำแต่ละครั้งจะเพิ่มชั้นของความคลุมเครือ ทำให้การตรวจจับทำได้ยากขึ้น

การสื่อสารกับโครงสร้างพื้นฐาน C2 อาศัยโปรโตคอล HTTP มาตรฐาน และมัลแวร์จะขอให้ผู้ใช้ตั้งค่าเป็นแอปพลิเคชัน SMS เริ่มต้นเพื่อเข้าถึงเนื้อหาและฟังก์ชันการส่งข้อความที่ละเอียดอ่อน ความสามารถเหล่านี้ช่วยให้ผู้โจมตีสามารถเฝ้าระวังและขยายขอบเขตของมัลแวร์ได้โดยไม่ต้องมีการแทรกแซงจากผู้ใช้

มาตรการป้องกัน

แม้จะมีศักยภาพสูง แต่ ClayRat ก็ได้รับการบรรเทาผลกระทบโดย Google Play Protect ซึ่งเปิดใช้งานตามค่าเริ่มต้นบนอุปกรณ์ที่ใช้ Google Play Services Play Protect จะปกป้องผู้ใช้จากมัลแวร์เวอร์ชันที่รู้จักโดยอัตโนมัติ

ClayRat ถือเป็นภัยคุกคามสองประการ คือ สอดแนมเหยื่อไปพร้อมๆ กับการเปลี่ยนอุปกรณ์ของเหยื่อให้กลายเป็นเครื่องมือสำหรับการแพร่กระจายมัลแวร์ต่อไป การผสมผสานระหว่างวิศวกรรมสังคม เทคนิคการหลบเลี่ยงขั้นสูง และการกระจายข้อมูลอัตโนมัติ ทำให้ ClayRat เป็นศัตรูที่น่าเกรงขามในแวดวงภัยคุกคามบน Android