ClayRat špijunski malware: Opasnija verzija Android spywarea otkrivena

 

Zimperiumovi istraživači otkrili su novu verziju Android špijunskog malwarea ClayRat, koja donosi znatno proširene mogućnosti nadzora, krađe podataka i dublju kontrolu nad kompromitovanim uređajima.

Prva verzija otkrivena je u oktobru i bila je u stanju krasti SMS poruke, evidenciju poziva, fotografije i slati masovne poruke. Međutim, nova verzija ide mnogo dalje — kombinuje podrazumijevana SMS ovlaštenja sa agresivnim iskorištavanjem Accessibility Services, što omogućava visoku automatizaciju i gotovo potpunu kontrolu nad Android telefonom.

 

Proširene mogućnosti: Keylogger, snimanje ekrana i automatski gestovi

 

Prema najnovijem izvještaju Zimperiuma, ClayRat sada može izvoditi širok spektar automatizovanih radnji i špijunskih funkcija. Malware uključuje:

  • Keylogger koji bilježi PIN-ove, lozinke i šablone za otključavanje
  • Snimanje ekrana putem MediaProjection API-ja
  • Overlays koji prikrivaju zlonamjerne aktivnosti
  • Automatske tapove koji sprečavaju korisnika da ugasi uređaj ili obriše aplikaciju

Ove mogućnosti čine ga znatno upornijim, opasnijim i teže uklonjivim nego ranije verzije.

 

Prerušavanje u legitimne aplikacije i masovna distribucija

 

Istraživači navode da se ClayRat uspješno prikriva imitirajući popularne aplikacije i servise, uključujući:

  • globalne video platforme
  • regionalne taksi aplikacije
  • aplikacije za parking

Pronađeno je više od 700 različitih APK fajlova, distribuiranih preko fišing sajtova i platformi poput Dropboxa. Identifikovano je i više od 25 aktivnih fišing domena, uključujući one koji oponašaju YouTube ili alate za autodijagnostiku.

 

Kako ClayRat preuzima telefon: od SMS pristupa do potpunog nadzora

 

Nakon instalacije, ClayRat prvo traži kontrolu nad SMS porukama, a zatim navodi korisnika da uključi Accessibility Services. Kada dobije potrebna ovlaštenja, malware:

  • automatski isključuje Play Store
  • zaobilazi Google Play Protect
  • prati zaključavanje ekrana
  • rekonstruiše PIN, lozinku ili šablon
  • automatski otključava uređaj pomoću simuliranih gestova

Takođe čita sistemske notifikacije, prikuplja reakcije na lažne obavijesti i koristi ekranske maske (crni ekran, lažna ažuriranja) da sakrije svoj rad.

 

Ozbiljna prijetnja za korisnike i kompanije

 

Zimperium upozorava da ClayRat može kompromitovati:

  • notifikacije
  • SMS poruke
  • autentifikacione zahtjeve
  • sadržaj ekrana

U BYOD okruženjima, gdje zaposleni koriste privatne telefone u poslovne svrhe, jedan zaraženi uređaj može dovesti do:

  • krađe poslovnih podataka
  • fišing napada
  • finansijskih prevara
  • neovlaštenog pristupa korporativnim sistemima