Шпионская программа ClayRat, предназначенная для устройств на Android, активно атакует пользователей в России. Она распространяется через каналы Telegram и фишинговые сайты, мимикрирующие популярные приложения вроде WhatsApp и YouTube. Исследователи из Zimperium отмечают, что ClayRat нацелена на извлечение личных данных и может даже делать фотографии с помощью фронтальной камеры жертвы.
ClayRat attacks Android users in Russia
Распространение и тактики
Малварь распространяется с помощью вредоносных ссылок, рассылаемых контактам из телефонной книги зараженного устройства. За последние 90 дней Zimperium обнаружила по меньшей мере 600 образцов и 50 дропперов. По мере развития кампании ClayRat добавляет новые уровни запутывания, чтобы избежать обнаружения. Помимо стандартной кражи данных, ClayRat предлагает установку под видом ложного обновления Play Store, что скрывает её истинные намерения.
Функциональность и возможности
ClayRat использует стандартный HTTP для связи со своим C2 сервером и запрашивает права на установку в качестве SMS-приложения по умолчанию. Это позволяет программному обеспечению не только пересылать сообщения, но и автоматически захватывать и распространять их, превращая зараженные устройства в узлы дальнейшего распространения.
Изученные образцы показывают, что ClayRat может также совершать звонки, собирать информацию об устройстве, фотографировать и получать список установленных приложений. Поддельные сайты, такие как "YouTube Plus", распространяют APK, которые обходят защиту Android 13 и выше, делая эту угрозу особенно опасной.
