Логотип

Новая шпионская программа для Android ClayRat имитирует WhatsApp, TikTok и YouTube

Новая шпионская программа для Android ClayRat имитирует WhatsApp, TikTok и YouTube

Новое шпионское ПО для Android под названием ClayRat заманивает потенциальных жертв, выдавая себя за популярные приложения и сервисы, такие как WhatsApp, Google Фото, TikTok и YouTube.

Вредоносное ПО нацелено на российских пользователей через каналы Telegram и вредоносные веб-сайты, которые выглядят легитимными. Оно может похищать SMS-сообщения, журналы вызовов, уведомления, делать снимки и даже совершать телефонные звонки.

Исследователи вредоносного ПО из компании Zimperium, специализирующейся на мобильной безопасности, сообщают, что за последние три месяца они зафиксировали более 600 образцов и 50 различных дропперов, что свидетельствует об активных попытках злоумышленников расширить масштабы операции.

 

Кампания ClayRat

Кампания ClayRat, названная в честь сервера управления и контроля (C2) вредоносного ПО, использует тщательно продуманные фишинговые порталы и зарегистрированные домены, которые очень похожи на страницы официальных сервисов.

Эти сайты размещают или перенаправляют посетителей на каналы в Telegram, где ничего не подозревающим жертвам предоставляются файлы пакетов Android (APK).

Чтобы придать этим сайтам легитимности, злоумышленники добавили фейковые комментарии, завысили количество скачиваний и использовали поддельный интерфейс, похожий на Play Store, с пошаговыми инструкциями по установке APK-файлов и обходу предупреждений системы безопасности Android.

Фальшивое обновление загружает шпионское ПО в фоновом режимеИсточник: Zimperium

Фальшивое обновление загружает шпионское ПО в фоновом режиме
Источник: Zimperium

 

По данным Zimperium, некоторые образцы вредоносного ПО ClayRat действуют как дропперы: пользователь видит поддельное окно обновления Play Store, а зашифрованная полезная нагрузка скрыта в ресурсах приложения.

Читать  Кибербезопасность в аутсорсе: 5 ключевых мер защиты корпоративных данных

Вредоносная программа внедряется в устройство с помощью метода установки «на основе сеанса», чтобы обойти ограничения Android 13+ и снизить уровень подозрительности пользователей.

«Этот метод установки на основе сеанса снижает предполагаемый риск и повышает вероятность того, что посещение веб-страницы приведёт к установке шпионского ПО», — говорят исследователи.

После активации на устройстве вредоносная программа может использовать новый хост для распространения на другие устройства, выступая в качестве отправной точки для отправки SMS в список контактов жертвы.

Telegram-канал, распространяющий дропперы ClayRatИсточник: Zimperium

Telegram-канал, распространяющий дропперы ClayRat
Источник: Zimperium

 

Возможности шпионского ПО

Шпионская программа ClayRat на зараженных устройствах берет на себя роль обработчика SMS по умолчанию, что позволяет ей читать все входящие и сохраненные SMS, перехватывать их до того, как это сделают другие приложения, и изменять базы данных SMS.

ClayRat становится обработчиком SMS по умолчаниюИсточник: Zimperium

ClayRat становится обработчиком SMS по умолчанию
Источник: Zimperium

Шпионское ПО устанавливает связь с командным сервером, который в последних версиях использует шифрование AES-GCM, а затем получает одну из 12 поддерживаемых команд:

  • get_apps_list — отправка списка установленных приложений на C2
  • get_calls — отправка журналов вызовов
  • get_camera — сделать снимок на фронтальную камеру и отправить его на сервер
  • get_sms_list — извлечение SMS-сообщений
  • messsms — массовая рассылка SMS всем контактам
  • send_sms / make_call — отправка SMS или совершение звонков с устройства
  • notifications / get_push_notifications — сбор уведомлений и отправка данных
  • get_device_info — сбор информации об устройстве
  • get_proxy_data — получение URL-адреса прокси-сервера WebSocket, добавление идентификатора устройства и инициализация объекта подключения (преобразование HTTP/HTTPS в WebSocket и планирование задач)
  • retransmishion  — повторная отправка SMS на номер, полученный от C2
Читать  Пользователи iPhone, будьте осторожны: вирус может собрать ваши биометрические данные

 

После получения необходимых разрешений шпионское ПО автоматически собирает контакты, а также программно составляет и отправляет SMS-сообщения всем контактам для массовой рассылки.

Будучи членом App Defense Alliance, компания Zimperium поделилась полными доказательствами с Google, и теперь Play Protect блокирует известные и новые варианты шпионского ПО ClayRat.

Однако исследователи подчёркивают, что кампания была масштабной: за три месяца было собрано более 600 образцов.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Редактор: AndreyEx

Рейтинг: 5 (1 голос)

Важно: Данная статья носит информационный характер. Автор не несёт ответственности за возможные сбои или ошибки, возникшие при использовании описанного программного обеспечения.

Если статья понравилась, то поделитесь ей в социальных сетях:
0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

Это может быть вам интересно


Загрузка...

Спасибо!

Теперь редакторы в курсе.

Прокрутить страницу до начала