Μια ταχέως εξελισσόμενη εκστρατεία κατασκοπείας για Android με την ονομασία ClayRat έχει στοχεύσει χρήστες στη Ρωσία, χρησιμοποιώντας έναν συνδυασμό καναλιών στο Telegram και ιστοσελίδων phishing, προσποιούμενη δημοφιλείς εφαρμογές όπως WhatsApp, Google Photos, TikTok και YouTube για να παρασύρει τους χρήστες σε εγκατάσταση.
Λειτουργίες παρακολούθησης και εξάπλωσης
Μόλις ενεργοποιηθεί, το spyware μπορεί να εξάγει SMS, αρχεία καταγραφής κλήσεων, ειδοποιήσεις και πληροφορίες συσκευής, να τραβά φωτογραφίες με την μπροστινή κάμερα, ακόμα και να στέλνει SMS ή να πραγματοποιεί κλήσεις από τη συσκευή του θύματος. Το κακόβουλο λογισμικό είναι επίσης σχεδιασμένο να εξαπλώνεται, στέλνοντας κακόβουλους συνδέσμους σε κάθε επαφή του τηλεφωνικού καταλόγου του χρήστη.
Η εταιρεία Zimperium ανέφερε ότι έχει εντοπίσει τουλάχιστον 600 δείγματα και 50 διαφορετικά droppers μέσα σε 90 ημέρες, με κάθε νέα έκδοση να περιλαμβάνει νέες τεχνικές απόκρυψης για να αποφύγει την ανίχνευση. Η ονομασία ClayRat προέρχεται από τον πίνακα εντολών και ελέγχου (C2) που χρησιμοποιείται για τον απομακρυσμένο έλεγχο των μολυσμένων συσκευών.
Διανομή μέσω ψεύτικων APKs και παραπλανητικών σελίδων
Η αλυσίδα επίθεσης περιλαμβάνει ανακατεύθυνση των χρηστών σε ψεύτικες ιστοσελίδες και Telegram κανάλια, όπου παρασύρονται να κατεβάσουν αρχεία APK, με ψεύτικες μαρτυρίες και διογκωμένα στατιστικά λήψεων. Σε άλλες περιπτώσεις, ιστοσελίδες που προσφέρουν υποτιθέμενη εφαρμογή YouTube Plus με premium χαρακτηριστικά φιλοξενούν APKs που μπορούν να παρακάμψουν τα μέτρα ασφαλείας του Android 13 και νεότερων εκδόσεων.
Παράκαμψη ασφαλείας και παραπλάνηση χρηστών
Ορισμένα δείγματα λειτουργούν ως droppers: η ορατή εφαρμογή είναι ένας ελαφρύς εγκαταστάτης που προβάλλει μια ψεύτικη οθόνη ενημέρωσης του Play Store, ενώ το κρυπτογραφημένο κακόβουλο φορτίο είναι κρυμμένο μέσα στα αρχεία της εφαρμογής. Αυτή η μέθοδος μειώνει την αντίληψη κινδύνου και αυξάνει την πιθανότητα εγκατάστασης.
Πλήρης πρόσβαση στη συσκευή και διαρκής επιτήρηση
Μόλις εγκατασταθεί, το ClayRat επικοινωνεί με τον C2 server μέσω HTTP και ζητά από τον χρήστη να οριστεί ως η προεπιλεγμένη εφαρμογή SMS. Με αυτόν τον τρόπο αποκτά πρόσβαση σε ευαίσθητο περιεχόμενο, όπως καταγραφές κλήσεων, μηνύματα και ειδοποιήσεις, ενώ παράλληλα συνεχίζει να διανέμεται αυτόματα σε άλλες επαφές.
Ενίσχυση παρακολούθησης και αυτοματοποιημένη διάδοση
Άλλες δυνατότητες του malware περιλαμβάνουν πραγματοποίηση κλήσεων, συλλογή πληροφοριών συσκευής, λήψη φωτογραφιών και αποστολή λίστας εγκατεστημένων εφαρμογών στον server. Το ClayRat αποτελεί σημαντική απειλή όχι μόνο λόγω των δυνατοτήτων παρακολούθησης, αλλά και επειδή μετατρέπει τη μολυσμένη συσκευή σε κόμβο διανομής, επεκτείνοντας την επίθεση χωρίς χειροκίνητη παρέμβαση.
Αντίδραση Google και ευρύτερα ζητήματα ασφαλείας
Εκπρόσωπος της Google δήλωσε ότι οι χρήστες Android προστατεύονται αυτόματα από γνωστές εκδόσεις του malware μέσω του Google Play Protect, το οποίο είναι ενεργοποιημένο από προεπιλογή στις συσκευές με Google Play Services.
Η αποκάλυψη αυτή έρχεται καθώς ακαδημαϊκοί από το Πανεπιστήμιο του Λουξεμβούργου και το Université Cheikh Anta Diop διαπίστωσαν ότι προεγκατεστημένες εφαρμογές σε οικονομικά smartphones που πωλούνται στην Αφρική λειτουργούν με αυξημένα δικαιώματα, μεταδίδοντας ταυτοποιητικά στοιχεία και τοποθεσία σε τρίτους. Από τα 1.544 APKs που εξετάστηκαν, 145 αποκάλυπταν ευαίσθητα δεδομένα, 249 εξέθεταν κρίσιμα στοιχεία χωρίς επαρκή μέτρα ασφαλείας, ενώ δεκάδες εκτελούσαν επικίνδυνες εντολές ή διάβαζαν και έστελναν μηνύματα SMS.
