Мобільні кібератаки вступають у більш витончену та небезпечну фазу: ClayRat Це шпигунське програмне забезпечення для Android, яке маскується під знайомі програми, такі як WhatsApp o TikTok викрадати дані та поширювати їх серед контактів.
За словами дослідників з Зімперій, операція розвивається хорошими темпами та вже накопичила понад 600 зразків та 50 піпеток, розповсюджується через Telegram-канали та сайти, що видають себе за офіційні, включено Фальшивий магазин TikTokЗавдяки своєму охопленню та соціальній інженерії, це особливо активна кампанія.
Що таке ClayRat і чому він маскується під популярний додаток?
Названа на честь своєї інфраструктури командування та управління, ClayRat поєднує крадіжку особистих даних з розширений фішингЗловмисники створюють портали, які імітувати зовнішній вигляд Google Play або зі сторінок WhatsApp, TikTok, YouTube чи Google Фото з інструкціями щодо встановлення APK-файлів вручну.
Ці вебсайти показують сфабриковані огляди, завищені лічильники завантажень та згенеровані коментарі щоб вселити довіру. Зачіпка підкріплюється нібито версіями "плюс«або «преміум» версії популярних програм, коли насправді користувач дозволяє встановлення шпигунського програмного забезпечення.
Ланцюг зараження: встановлення «за сеанс» та дроппери
Одна з його переваг – це спосіб встановлення на основі сеансу що зменшує видимі сповіщення і допомогти обхід обмежень, запроваджених в Android 13 та пізніших версій, імітуючи роботу легітимних програм. Ці методи контрастують із покращеннями безпеки, що впроваджуються такими версіями, як Android 13 і новіших версій.
Багато варіантів діють як крапельниціпоказати підроблений екран оновлення Play Store під час завантаження та роботи у фоновому режимі зашифроване корисне навантаженняПотім шкідливе програмне забезпечення ховається серед системних процесів, очікуючи підключення до віддаленого сервера. Ці механізми нагадують інші загрози, такі як дроппери та мобільні трояни.
Що можна зробити всередині телефону
Після зараження пристрою ClayRat запитує конфіденційні дозволи (SMS, контакти, камера та мікрофон) та намагається бути SMS-додатком за замовчуваннямЗавдяки цьому ви можете перехоплювати, читати та змінювати повідомлення перш ніж вони потраплять до інших програм, ризик, який є частиною ризик мобільного шкідливого програмного забезпечення.
Крім того, шпигунське програмне забезпечення здатне витягти SMS, запис сповіщень, перевірка журналу викликів, робити фотографії за допомогою фронтальної камери і навіть ініціювати дзвінки чи надсилати повідомлення без втручання користувача.
- список_додатків: надсилає список встановлених програм.
- отримати_дзвінки: Збирати журнали викликів із пристрою.
- get_camera: Зробіть фотографію фронтальною камерою та завантажте її на сервер.
- get_sms_list / messmsКраде SMS або розсилає масові розсилки для поширення.
- надсилання_повідомлень / здійснення_дзвінків: Здійснювати дзвінки або надсилати повідомлення з номера жертви.
- отримати_інформацію_про_пристрій: Отримує дані з пристрою та мережі.
- get_proxy_data: перетворює HTTP/HTTPS-трафік на Тунелі WebSocket для маскування комунікацій.
Для зв'язку ClayRat використовує Шифрування AES-GCM y фрагментована передача даних ускладнити виявлення. Функція проксі дозволяє приховати трафік C2 за Тунелі на основі WebSocket.
Кампанія також спирається на автоматизоване поширенняКожен скомпрометований телефон використовується як розподільний вузол який пересилає шкідливі посилання через SMS усьому списку контактів, тим самим множачи охоплення атаки.
Масштаб кампанії та реакція галузі
В останні місяці Zimperium визначив понад 600 зразків і навколо 50 різних піпеток, том, який демонструє еволюцію операції. У деяких звітах ця діяльність спочатку з найвищою захворюваністю в Росії, з потенціалом для розширення на інші країни.
Індикатори компрометації були передані Google та Грати в захисті ya блоки відомих варіантівНавіть попри це, експерти наголошують, що кампанія все ще активна, і що найкращим захистом є уникнення встановлення з зовнішні посилання або канали Telegram.
Як мінімізувати ризики
Основна рекомендація проста: Не встановлюйте APK-файли з невідомих джерелБудьте обережні з нібито "Plus" або "преміум" версіями популярних програм та уникайте переходів за посиланнями для завантаження в соціальних мережах або повідомленнях.
- Підтримуйте систему оновленою та активною Захистити Google Play для безперервного сканування.
- Часто перевіряйте, дозволи з програм (SMS, камера, мікрофон, контакти) та скасовувати непотрібні.
- Перевірте, яка саме програма SMS за замовчуванням та відновити офіційну, якщо щось змінилося без вашої згоди.
- Зверніть увагу на попереджувальні знаки: несанкціоновані вихідні повідомлення, різкі перепади заряду батареї або даних, а також дивна поведінка.
- Використовуйте розчин мобільна безпека надійний для виявлення дропперів та діяльності C2.
Якщо ви підозрюєте інфекцію, найефективнішим засобом буде відключити пристрій, зробіть копію того, що є найважливішим, скидання до заводських налаштувань та перевстановлювати лише програми з в Google PlayЗмініть паролі та ввімкніть двофакторну аутентифікацію для критично важливих служб.
ClayRat продемонстрував, як шпигунське програмне забезпечення може видаючи себе за WhatsApp та TikTok Щоб порушити довіру користувачів, обійти нещодавні засоби захисту Android та використати самих жертв як платформу для атаки, сьогодні найефективнішим бар'єром є надзвичайна обережність із джерелами завантаження та дозволами.
