Phần mềm gián điệp ClayRat

Một chiến dịch phần mềm gián điệp Android đang phát triển nhanh chóng, được gọi là ClayRat, đã nổi lên như một mối đe dọa đáng kể đối với người dùng, đặc biệt là ở Nga. Kẻ tấn công khai thác sự kết hợp giữa các kênh Telegram và các trang web lừa đảo giả mạo, mạo danh các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube để dụ nạn nhân cài đặt phần mềm độc hại.

ClayRat lây lan như thế nào

Chuỗi tấn công bắt đầu khi người dùng không cảnh giác bị chuyển hướng đến các trang web lừa đảo liên kết đến các kênh Telegram do kẻ tấn công kiểm soát. Tại đây, nạn nhân bị lừa tải xuống các tệp APK độc hại thông qua:

• Số lượt tải xuống được tăng lên một cách giả tạo
• Lời chứng thực bịa đặt khẳng định sự phổ biến của ứng dụng

Một số trang web độc hại ngụy trang thành cung cấp phiên bản nâng cao của các ứng dụng phổ biến, chẳng hạn như YouTube Plus, và lưu trữ các tệp APK được thiết kế để vượt qua các biện pháp bảo mật trên các thiết bị chạy Android 13 trở lên.

Một số mẫu ClayRat hoạt động như dropper, hiển thị một ứng dụng nhẹ với màn hình cập nhật Play Store giả mạo. Tải trọng thực tế được mã hóa và ẩn trong các tài nguyên của ứng dụng, cho phép phần mềm độc hại vượt qua các hạn chế của nền tảng và tăng tỷ lệ cài đặt thành công.

Khả năng độc hại

Sau khi cài đặt, ClayRat sẽ kích hoạt một loạt các chức năng xâm nhập:

• Trích xuất tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin thiết bị
• Chụp ảnh bằng camera trước
• Gửi tin nhắn SMS hoặc thực hiện cuộc gọi trực tiếp từ thiết bị bị nhiễm
• Thu thập danh sách tất cả các ứng dụng đã cài đặt và gửi đến máy chủ Command-and-Control (C2)

Phần mềm độc hại này còn lây lan mạnh mẽ bằng cách gửi các liên kết độc hại đến mọi địa chỉ liên lạc trong danh bạ của nạn nhân, biến các thiết bị bị xâm phạm thành các nút phân phối tự động.

Sự tinh vi về kỹ thuật

Các nhà nghiên cứu bảo mật đã quan sát hơn 600 mẫu và 50 lần thả mã độc ClayRat trong 90 ngày qua. Mỗi lần lặp lại lại thêm nhiều lớp mã hóa, khiến việc phát hiện trở nên khó khăn hơn.

Giao tiếp với cơ sở hạ tầng C2 dựa trên các giao thức HTTP tiêu chuẩn, và phần mềm độc hại yêu cầu người dùng đặt nó làm ứng dụng SMS mặc định để truy cập nội dung nhạy cảm và chức năng nhắn tin. Những khả năng này cho phép kẻ tấn công thực hiện giám sát và mở rộng phạm vi hoạt động của phần mềm độc hại mà không cần can thiệp thủ công.

Các biện pháp bảo vệ

Mặc dù có sức mạnh khủng khiếp, ClayRat vẫn được Google Play Protect giảm thiểu, tính năng này được bật mặc định trên các thiết bị có Dịch vụ Google Play. Play Protect tự động bảo vệ người dùng khỏi các phiên bản phần mềm độc hại đã biết.

ClayRat là một mối đe dọa kép: nó theo dõi nạn nhân, đồng thời biến thiết bị của họ thành công cụ để phát tán phần mềm độc hại. Sự kết hợp giữa kỹ thuật xã hội, kỹ thuật né tránh tiên tiến và phân phối tự động khiến nó trở thành một đối thủ đáng gờm trong bối cảnh các mối đe dọa Android.