ClayRat Spyware

Ang isang mabilis na umuusbong na kampanya ng spyware ng Android na kilala bilang ClayRat ay lumitaw bilang isang malaking banta sa mga user, partikular sa Russia. Sinasamantala ng mga attacker ang kumbinasyon ng mga Telegram channel at mga mukhang phishing na website, na nagpapanggap bilang mga sikat na application gaya ng WhatsApp, Google Photos, TikTok, at YouTube para akitin ang mga biktima sa pag-install ng malware.

Paano Kumalat ang ClayRat

Ang chain ng pag-atake ay magsisimula kapag ang mga hindi pinaghihinalaang gumagamit ay na-redirect sa mga mapanlinlang na website na nagli-link sa mga channel ng Telegram na kinokontrol ng mga umaatake. Dito, dinadaya ang mga biktima sa pag-download ng mga nakakahamak na APK file sa pamamagitan ng:

• Artipisyal na napalaki ang bilang ng pag-download
• Mga gawa-gawang testimonial na nagsasabing sikat ang app

Ang ilang nakakahamak na site ay nagpapanggap na nag-aalok ng mga pinahusay na bersyon ng mga sikat na app, gaya ng YouTube Plus, at nagho-host ng mga APK file na idinisenyo upang laktawan ang mga hakbang sa seguridad sa mga device na gumagamit ng Android 13 at mas bago.

Ang ilang partikular na sample ng ClayRat ay gumaganap bilang mga dropper, na nagpapakita ng magaan na app na may pekeng screen ng update sa Play Store. Ang aktwal na payload ay naka-encrypt at nakatago sa loob ng mga asset ng app, na nagbibigay-daan sa malware na i-bypass ang mga paghihigpit sa platform at pataasin ang mga rate ng tagumpay sa pag-install.

Mga Nakakahamak na Kakayahan

Kapag na-install na, ina-activate ng ClayRat ang isang hanay ng mga nakakasagabal na functionality:

• Pinapalabas ang mga mensaheng SMS, mga log ng tawag, mga notification, at impormasyon ng device
• Kumukuha ng mga larawan gamit ang front camera
• Nagpapadala ng mga mensaheng SMS o naglalagay ng mga tawag nang direkta mula sa nahawaang device
• Nangongolekta ng listahan ng lahat ng naka-install na application at ipinapadala ito sa Command-and-Control (C2) server

Ang malware ay agresibo ding nagpapalaganap ng sarili sa pamamagitan ng pagpapadala ng mga nakakahamak na link sa bawat contact sa phonebook ng biktima, na epektibong ginagawang mga automated distribution node ang mga nakompromisong device.

Teknikal na pagiging sopistikado

Naobserbahan ng mga mananaliksik sa seguridad ang mahigit 600 sample at 50 dropper ng ClayRat sa nakalipas na 90 araw. Ang bawat bagong pag-ulit ay nagdaragdag ng mga layer ng obfuscation, na ginagawang mas mahirap ang pagtuklas.

Ang komunikasyon sa imprastraktura ng C2 ay umaasa sa mga karaniwang HTTP protocol, at hinihiling ng malware ang mga user na gawin itong default na SMS application upang makakuha ng access sa sensitibong nilalaman at mga function ng pagmemensahe. Ang mga kakayahang ito ay nagbibigay-daan sa mga umaatake na magsagawa ng pagsubaybay at palawakin ang abot ng malware nang walang manu-manong interbensyon.

Mga Panukalang Proteksiyon

Sa kabila ng potensyal nito, ang ClayRat ay pinapagaan ng Google Play Protect, na naka-enable bilang default sa mga device na may Mga Serbisyo ng Google Play. Awtomatikong pinoprotektahan ng Play Protect ang mga user mula sa mga kilalang bersyon ng malware.

Kinakatawan ng ClayRat ang dalawahang banta: tinitiktik nito ang mga biktima habang sabay-sabay na ginagawang mga tool ang kanilang mga device para sa karagdagang pagpapalaganap ng malware. Ang kumbinasyon nito ng social engineering, mga advanced na diskarte sa pag-iwas, at awtomatikong pamamahagi ay ginagawa itong isang mabigat na kalaban sa landscape ng pagbabanta ng Android.