ClayRat间谍软件
一个名为 ClayRat 的 Android 间谍软件活动正在迅速发展,对用户构成了重大威胁,尤其是在俄罗斯。攻击者利用 Telegram 频道和类似的钓鱼网站,冒充 WhatsApp、Google Photos、TikTok 和 YouTube 等热门应用程序,诱骗受害者安装恶意软件。
目录
ClayRat 的传播方式
攻击链始于毫无戒心的用户被重定向到欺诈网站,这些网站链接到攻击者控制的Telegram频道。受害者被诱骗通过以下方式下载恶意APK文件:
- 人为夸大下载次数
- 伪造用户评价,声称该应用受欢迎
一些恶意网站伪装成提供流行应用程序(例如 YouTube Plus)的增强版本,并托管旨在绕过运行 Android 13 及更高版本的设备上的安全措施的 APK 文件。
某些 ClayRat 样本会充当植入程序,显示一个带有虚假 Play Store 更新屏幕的轻量级应用程序。实际的有效负载经过加密并隐藏在应用程序的资源文件中,从而使恶意软件能够绕过平台限制并提高安装成功率。
恶意功能
一旦安装,ClayRat 就会激活一系列侵入功能:
- 窃取短信、通话记录、通知和设备信息
- 使用前置摄像头拍摄照片
- 直接从受感染的设备发送短信或拨打电话
- 收集所有已安装应用程序的列表并将其发送到命令和控制 (C2) 服务器
该恶意软件还通过向受害者电话簿中的每个联系人发送恶意链接来积极传播,有效地将受感染的设备变成自动分发节点。
技术复杂性
安全研究人员在过去 90 天内观察到了超过 600 个 ClayRat 样本和 50 个植入程序。每次迭代都会增加一层层混淆,使检测更加困难。
与 C2 基础设施的通信依赖于标准 HTTP 协议,恶意软件会请求用户将其设置为默认短信应用,以获取敏感内容和消息传递功能的访问权限。这些功能使攻击者无需人工干预即可进行监视并扩大恶意软件的覆盖范围。
保护措施
尽管 ClayRat 攻击力强大,但它可以通过 Google Play Protect 进行防御。Google Play Protect 在安装 Google Play 服务的设备上默认启用。Play Protect 会自动保护用户免受已知版本恶意软件的侵害。
ClayRat 代表着双重威胁:它不仅监视受害者,同时还将受害者的设备转化为进一步传播恶意软件的工具。它融合了社会工程学、先进的规避技术和自动化传播技术,使其成为 Android 威胁领域中一个强大的对手。
