Шпигунське програмне забезпечення ClayRat
Швидкорозвиваюча кампанія шпигунського програмного забезпечення для Android, відома як ClayRat, стала значною загрозою для користувачів, особливо в Росії. Зловмисники використовують комбінацію каналів Telegram та схожих фішингових веб-сайтів, видаючи себе за популярні додатки, такі як WhatsApp, Google Photos, TikTok та YouTube, щоб заманити жертв до встановлення шкідливого програмного забезпечення.
Зміст
Як поширюється ClayRat
Ланцюг атаки починається, коли нічого не підозрюючих користувачів перенаправляють на шахрайські веб-сайти, які посилаються на канали Telegram, контрольовані зловмисниками. Тут жертв обманом змушують завантажити шкідливі APK-файли через:
- Штучно завищена кількість завантажень
- Вигадані відгуки, що стверджують про популярність програми
Деякі шкідливі сайти маскуються під пропозиції покращених версій популярних програм, таких як YouTube Plus, та розміщують APK-файли, призначені для обходу заходів безпеки на пристроях під управлінням Android 13 та пізніших версій.
Деякі зразки ClayRat функціонують як дроппери, представляючи легкий додаток із підробленим екраном оновлення Play Store. Фактичне корисне навантаження зашифровано та приховано в ресурсах програми, що дозволяє шкідливому програмному забезпеченню обходити обмеження платформи та збільшувати рівень успішного встановлення.
Шкідливі можливості
Після встановлення ClayRat активує низку нав'язливих функцій:
- Видаляє SMS-повідомлення, журнали викликів, сповіщення та інформацію про пристрій
- Знімає фотографії за допомогою фронтальної камери
- Надсилає SMS-повідомлення або здійснює дзвінки безпосередньо із зараженого пристрою
- Збирає список усіх встановлених програм та надсилає його на сервер командування та управління (C2).
Шкідливе програмне забезпечення також агресивно поширюється, надсилаючи шкідливі посилання кожному контакту в телефонній книзі жертви, фактично перетворюючи скомпрометовані пристрої на автоматизовані вузли розповсюдження.
Технічна досконалість
Дослідники з безпеки протягом останніх 90 днів спостерігали понад 600 зразків та 50 дропперів ClayRat. Кожна нова ітерація додає шари обфускації, що ускладнює виявлення.
Зв'язок з інфраструктурою C2 залежить від стандартних протоколів HTTP, і шкідливе програмне забезпечення просить користувачів зробити його SMS-додатком за замовчуванням, щоб отримати доступ до конфіденційного контенту та функцій обміну повідомленнями. Ці можливості дозволяють зловмисникам проводити спостереження та розширювати охоплення шкідливого програмного забезпечення без ручного втручання.
Захисні заходи
Незважаючи на свою потужність, ClayRat захищений за допомогою Google Play Protect, який увімкнено за замовчуванням на пристроях із сервісами Google Play. Play Protect автоматично захищає користувачів від відомих версій шкідливого програмного забезпечення.
ClayRat являє собою подвійну загрозу: він шпигує за жертвами, одночасно перетворюючи їхні пристрої на інструменти для подальшого поширення шкідливого програмного забезпечення. Поєднання соціальної інженерії, передових методів ухилення від шкідливих програм та автоматизованого розповсюдження робить його грізним супротивником у ландшафті загроз Android.
