ClayRat間諜軟體
一個名為 ClayRat 的 Android 間諜軟體活動正在迅速發展,對用戶構成了重大威脅,尤其是在俄羅斯。攻擊者利用 Telegram 頻道和類似的釣魚網站,冒充 WhatsApp、Google Photos、TikTok 和 YouTube 等熱門應用程序,誘騙受害者安裝惡意軟體。
目錄
ClayRat 的傳播方式
攻擊鏈始於毫無戒心的使用者被重新導向到詐騙網站,這些網站連結到攻擊者控制的Telegram頻道。受害者被誘騙透過以下方式下載惡意APK檔案:
- 人為誇大下載次數
- 偽造用戶評價,聲稱該應用程式受歡迎
一些惡意網站偽裝成提供流行應用程式(例如 YouTube Plus)的增強版本,並託管旨在繞過運行 Android 13 及更高版本的裝置上的安全措施的 APK 檔案。
某些 ClayRat 樣本會充當植入程序,顯示一個帶有虛假 Play Store 更新畫面的輕量級應用程式。實際的有效負載經過加密並隱藏在應用程式的資源檔案中,使惡意軟體能夠繞過平台限制並提高安裝成功率。
惡意功能
一旦安裝,ClayRat 就會啟動一系列侵入功能:
- 竊取簡訊、通話記錄、通知和設備訊息
- 使用前置相機拍攝照片
- 直接從受感染的裝置發送簡訊或撥打電話
- 收集所有已安裝應用程式的清單並將其發送到命令和控制 (C2) 伺服器
該惡意軟體還透過向受害者電話簿中的每個聯絡人發送惡意連結來積極傳播,有效地將受感染的裝置變成自動分發節點。
技術複雜性
安全研究人員在過去 90 天內觀察到了超過 600 個 ClayRat 樣本和 50 個植入程序。每次迭代都會增加一層層混淆,使檢測更加困難。
與 C2 基礎架構的通訊依賴標準 HTTP 協議,惡意軟體會請求使用者將其設定為預設簡訊應用,以取得敏感內容和訊息傳遞功能的存取權限。這些功能使攻擊者無需人工幹預即可進行監視並擴大惡意軟體的覆蓋範圍。
保護措施
儘管 ClayRat 攻擊力強大,但它可以透過 Google Play Protect 進行防禦。 Google Play Protect 在安裝 Google Play 服務的裝置上預設為啟用。 Play Protect 會自動保護使用者免受已知版本惡意軟體的侵害。
ClayRat 代表著雙重威脅:它不僅監視受害者,同時還將受害者的裝置轉化為進一步傳播惡意軟體的工具。它融合了社會工程、先進的規避技術和自動化傳播技術,使其成為 Android 威脅領域中強大的對手。
