Мобилните кибератаки навлизат в по-сложна и опасна фаза: Глинен плъх Това е шпионски софтуер за Android, който се маскира като познати приложения, като например WhatsApp o TikTok да крадат данни и да ги разпространяват сред контактите.
Според изследователи от Зимпериум, операцията се разраства с добри темпове и вече е натрупала повече от 600 проби и 50 капкомера, разпространява се чрез Telegram канали и сайтове, които се представят за официални, включени фалшив магазин за TikTokПоради обхвата и социалното инженерство, това е особено активна кампания.
Какво е ClayRat и защо се маскира като популярно приложение?
Наречен на своята инфраструктура за командване и контрол, Глинен плъх съчетава кражба на самоличност с напреднал фишингНападателите издигат портали, които имитират външния вид на Google Play или от страниците на WhatsApp, TikTok, YouTube или Google Photos, с инструкции за ръчно инсталиране на APK файлове.
Тези уебсайтове показват изфабрикувани отзиви, завишени броячи за изтегляния и генерирани коментари да вдъхне доверие. Закачката е подсилена с предполагаеми версии на „Plus„“ или „премиум“ версии на популярни приложения, когато в действителност потребителят разрешава инсталирането на шпионски софтуер.
Верига на заразяване: инсталация „на сесия“ и дропери
Една от силните му страни е методът на инсталиране базиран на сесия че намалява видимите предупреждения и да помогне заобикаляне на ограниченията, въведени в Android 13 и по-късни версии, имитиращи потока от легитимни приложения. Тези техники контрастират с подобренията в сигурността, въведени от версии като Android 13 и по-нови версии.
Много варианти действат като пипетипокажи фалшив екран за актуализация на Play Store докато се изтегля и работи във фонов режим криптиран полезен товарСлед това зловредният софтуер се скрива сред системните процеси, чакайки да се свърже с отдалечения си сървър. Тези механизми напомнят на други заплахи, като например дропери и мобилни троянски коне.
Какво можете да направите, след като сте вътре в телефона
След като устройството е заразено, ClayRat изисква чувствителни разрешения (SMS, контакти, камера и микрофон) и се опитва да бъде приложение за SMS по подразбиранеС това можете прихващане, четене и промяна на съобщения преди да достигнат до други приложения, риск, който е част от риск от мобилен зловреден софтуер.
Освен това, шпионският софтуер е способен извличане на SMS, заснемане на известия, проверка на регистъра на обажданията, правете снимки с предната камера и дори да инициират повиквания или да изпращат съобщения без намесата на потребителя.
- списък_с_приложения: изпраща списъка с инсталирани приложения.
- получаване на обаждания: Събиране на дневници на повиквания от устройството.
- get_camera: Направете снимка с предната камера и я качете на сървъра.
- get_sms_list / messmsКраде SMS-и или изпраща масови имейли за разпространение.
- изпращане_на_смс / осъществяване_на_обаждане: Осъществявайте повиквания или изпращайте съобщения от номера на жертвата.
- get_device_info: Получава данни от устройството и мрежата.
- get_proxy_data: преобразува HTTP/HTTPS трафика в WebSocket тунели за камуфлаж на комуникациите.
За комуникации ClayRat използва AES-GCM криптиране y фрагментирано предаване на данни за да се усложни откриването. Функцията прокси позволява C2 трафикът да бъде скрит зад Тунели, базирани на WebSocket.
Кампанията се основава и на автоматизирано размножаванеВсеки компрометиран телефон се използва като разпределителен възел който препраща злонамерени връзки чрез SMS до целия списък с контакти, като по този начин умножава обхвата на атаката.
Обхват на кампанията и реакция на индустрията
През последните месеци Zimperium идентифицира повече от 600 проби и наоколо 50 различни капкомери, том, който демонстрира развиваща се операция. Някои доклади поставят дейността първоначално с най-висока честота в Русия, с потенциал за разширяване в други страни.
Индикаторите за компрометиране са споделени с Google и Пусни Защитете ya блокира известни вариантиВъпреки това, експертите подчертават, че кампанията все още е активна и че най-добрата защита е да се избягват инсталации от външни връзки или Telegram канали.
Как да се минимизират рисковете
Основната препоръка е проста: Не инсталирайте APK файлове от неизвестни източнициБъдете внимателни с предполагаемите „Plus“ или „premium“ версии на популярни приложения и избягвайте да следвате връзки за изтегляне в социалните медии или чрез съобщения.
- Поддържайте системата актуализирана и активна Защита от Google Play за непрекъснати сканирания.
- Проверявайте често разрешения от приложения (SMS, камера, микрофон, контакти) и отменете ненужните.
- Проверете кое приложение е SMS по подразбиране и възстановете официалния, ако нещо се е променило без вашето съгласие.
- Обърнете внимание на предупредителните знаци: неоторизирани изходящи съобщения, пикове на батерията или данните и странно поведение.
- Използвайте разтвор на мобилна сигурност надежден за откриване на дроппери и C2 дейности.
Ако подозирате инфекция, най-ефективното нещо е изключете устройството, направете копие на това, което е най-важно, нулиране до фабричните настройки и преинсталирайте само приложения от Google ПускайтеПроменете паролите и активирайте двуетапно потвърждаване за критични услуги.
ClayRat демонстрира как шпионският софтуер може представяне за WhatsApp и TikTok За да се наруши доверието на потребителите, да се заобиколят последните защити на Android и да се използват самите жертви като платформа за атаката, изключителната предпазливост с източниците за изтегляне и разрешенията е най-ефективната бариера днес.
