ClayRat Casus Yazılımı
ClayRat olarak bilinen ve hızla gelişen bir Android casus yazılım kampanyası, özellikle Rusya'daki kullanıcılar için önemli bir tehdit haline geldi. Saldırganlar, Telegram kanalları ve benzer kimlik avı web sitelerini bir arada kullanarak, WhatsApp, Google Fotoğraflar, TikTok ve YouTube gibi popüler uygulamaları taklit ediyor ve kurbanları kötü amaçlı yazılımı yüklemeye ikna ediyor.
İçindekiler
ClayRat Nasıl Yayılır?
Saldırı zinciri, şüphelenmeyen kullanıcıların saldırganların kontrolündeki Telegram kanallarına bağlantı veren sahte web sitelerine yönlendirilmesiyle başlıyor. Burada, kurbanlar aşağıdaki yollarla kötü amaçlı APK dosyalarını indirmeye kandırılıyor:
- Yapay olarak şişirilmiş indirme sayıları
- Uygulamanın popülerliğini iddia eden uydurma referanslar
Bazı kötü amaçlı siteler, YouTube Plus gibi popüler uygulamaların gelişmiş sürümlerini sunuyormuş gibi davranarak Android 13 ve üzeri işletim sistemine sahip cihazlarda güvenlik önlemlerini aşmak için tasarlanmış APK dosyaları barındırıyor.
Bazı ClayRat örnekleri, sahte bir Play Store güncelleme ekranıyla hafif bir uygulama sunan dropper işlevi görür. Gerçek yük, uygulamanın varlıkları içinde şifrelenir ve gizlenir, bu da kötü amaçlı yazılımın platform kısıtlamalarını aşmasına ve kurulum başarı oranlarını artırmasına olanak tanır.
Kötü Amaçlı Yetenekler
ClayRat kurulduktan sonra bir dizi müdahaleci işlevi etkinleştirir:
- SMS mesajlarını, arama kayıtlarını, bildirimleri ve cihaz bilgilerini sızdırır
- Ön kamerayı kullanarak fotoğraf çeker
- SMS mesajları gönderir veya doğrudan enfekte cihazdan arama yapar
- Yüklü tüm uygulamaların listesini toplar ve Komuta ve Kontrol (C2) sunucusuna gönderir
Kötü amaçlı yazılım ayrıca kurbanın telefon rehberindeki her kişiye kötü amaçlı bağlantılar göndererek kendini agresif bir şekilde yayıyor ve tehlikeye atılan cihazları otomatik dağıtım düğümlerine dönüştürüyor.
Teknik Gelişmişlik
Güvenlik araştırmacıları, son 90 günde 600'den fazla ClayRat örneği ve 50 damlalık gözlemledi. Her yeni yineleme, tespit etmeyi zorlaştıran karartma katmanları ekliyor.
C2 altyapısıyla iletişim standart HTTP protokollerine dayanır ve kötü amaçlı yazılım, hassas içeriklere ve mesajlaşma işlevlerine erişmek için kullanıcılardan varsayılan SMS uygulaması olarak kullanmalarını ister. Bu özellikler, saldırganların manuel müdahale olmadan gözetleme yapmalarına ve kötü amaçlı yazılımın etki alanını genişletmelerine olanak tanır.
Koruyucu Önlemler
ClayRat, gücüne rağmen, Google Play Hizmetleri'ne sahip cihazlarda varsayılan olarak etkin olan Google Play Protect tarafından azaltılır. Play Protect, kullanıcıları bilinen kötü amaçlı yazılım sürümlerinden otomatik olarak korur.
ClayRat, iki yönlü bir tehdit oluşturuyor: Kurbanları gözetliyor ve aynı zamanda cihazlarını kötü amaçlı yazılımların daha fazla yayılması için birer araca dönüştürüyor. Sosyal mühendislik, gelişmiş kaçınma teknikleri ve otomatik dağıtımın birleşimi, onu Android tehdit ortamında zorlu bir rakip haline getiriyor.
