ClayRat Android spyware orosz felhasználók ellen
Az elmúlt néhány hónapban a Ziperium zLabs kutatói nyomon követték a ClayRat nevű, gyorsan fejlődő Android spyware-t, amely elsősorban orosz felhasználókat céloz meg. A Telegram csatornákon és adathalász oldalakon terjesztett ClayRat népszerű alkalmazásoknak, például a WhatsAppnak, a Google Photosnak, a TikToknak és a YouTube-nak álcázza magát, hogy rávegye az áldozatokat a telepítésre.
Miután aktiválódik, a kémprogram SMS-üzeneteket, hívásnaplókat, értesítéseket és eszközinformációkat szivárogtathat ki, fényképeket készíthet az első kamerával, sőt SMS-üzeneteket is küldhet vagy hívásokat kezdeményezhet. A ClayRat emellett rosszindulatú linkeket küld az áldozat telefonkönyvében szereplő összes névjegynek, így gyakorlatilag minden fertőzött eszközt terjesztési központtá alakítja.
Számos esetben a támadók olyan domain nevet regisztráltak, amely nagyon hasonlít egy legitim szolgáltatáshoz tartozó tartományra. Ezekről az oldalakról Telegram csatornákra irányítják a felhasználókat, ahol a rosszindulatú APK-fájl található. A telepítés sikerességének növelése érdekében a spyware-hez gyakran egyszerű, lépésről lépésre leírt utasítások tartoznak, amelyek célja megkerülni az Android beépített biztonsági figyelmeztetéseit.
A kutatók a ClayRat-tel kapcsolatban csak az elmúlt három hónapban több mint 600 mintát és 50 droppert figyeltek meg, és minden új verzió új rétegeket ad hozzá az álcázáshoz és a csomagoláshoz, hogy elkerülje a felderítést. Ez azt mutatja, hogy a spyware mögött álló szereplők folyamatosan törekednek arra, hogy rejtve maradjanak és megkerüljék a védelmi intézkedéseket.
A ClayRat szabványos HTTP-t használ a C2 infrastruktúrájával való kommunikációhoz. A forgalom elrejtése érdekében a kártevő szoftver a „apezdolskynet” marker string-et illeszti be az egyébként Base64-kódolású payload-ba.
A ClayRat nemcsak kiterjedt megfigyelési képességei miatt jelent komoly fenyegetést, hanem azért is, mert visszaél az Android alapértelmezett SMS handler szerepével. Ez a technika lehetővé teszi számára, hogy megkerülje a szokásos futási engedélykéréseket, és riasztás nélkül hozzáférjen az érzékeny adatokhoz.
