Malvér ClayRat napodobňuje populárne aplikácie, aby kradol dáta a šíril sa prostredníctvom zoznamov kontaktov obetí. Zneužíva rolu obsluhy SMS v Androide na obídenie povolení a získanie prístupu k citlivému obsahu. Nájdených bolo viac ako 600 variantov; používatelia by sa mali držať dôveryhodných obchodov s aplikáciami a používať antivírusové nástroje.
Nová varianta malvéru pre Android sa vydáva za populárne aplikácie, kradne citlivé súbory a ďalej sa šíri.
Experti zo Zimperium odhalili ClayRat, ktorý sa zameriava primárne na ruských používateľov tým, že falšuje populárne aplikácie pre Android, ako sú WhatsApp, TikTok, Google Photos alebo YouTube, a šíri sa najmä prostredníctvom kanálov Telegramu a samostatných phishingových stránok.
Prostredníctvom typosquattingu (zaregistrovanie domén s preklepom) phishingové stránky oklamú obete, aby si mysleli, že navštevujú legitímnu stránku, a potom ich presmerujú na kanály Telegramu, kde je hostený malvér.
Akonáhle si obete nainštalujú ClayRat, zneužíva predvolenú rolu obsluhy SMS v Androide, čo mu umožňuje obísť štandardné výzvy na získanie bežných povolení a získať prístup k citlivým údajom bez toho, aby vyvolal poplach.
„Keď je aplikácii udelená táto rola, získa rozsiahly prístup k obsahu SMS a funkciám správ, čo umožňuje spywaru čítať, ukladať a preposielať textové správy vo veľkom rozsahu,“ vysvetlil Zimperium. „Na rozdiel od jednotlivých povolení, ktoré vyžadujú schválenie pre každú funkciu, rola obsluhy SMS konsoliduje viacero výkonných funkcií do jedného autorizačného kroku.“
Medzi citlivé údaje, ktoré sa snaží získať, patria SMS správy, záznamy hovorov, údaje o zariadení a fotografie zhotovené prednou kamerou. Akonáhle ukradne všetky informácie, ktoré nájde, malvér sa ďalej šíri odoslaním škodlivého odkazu na stiahnutie každému kontaktu v telefónnom zozname obete, čím premení infikované zariadenie na mocný distribučný uzol.
Ten, kto stojí za ClayRatom, je aktívny, uviedol Zimperium. Len za posledné tri mesiace našli výskumníci viac ako 600 variantov a 50 rôznych programov na sťahovanie malvéru, z ktorých každý mal samostatnú vrstvu maskovania. Nemyslia si však, že táto praktika je jedinečná pre tohto aktéra hrozby, ale skôr dôkaz o „rastúcej rýchlosti a sofistikovanosti“ dnešných mobilných hrozieb.
„ClayRat demonštruje, ako sa útočníci vyvíjajú rýchlejšie ako kedykoľvek predtým, kombinujú sociálne inžinierstvo, samopropagáciu a zneužívanie systému, aby maximalizovali dosah,“ povedal Shridhar Mittal, generálny riaditeľ spoločnosti Zimperium.
Na ochranu pred týmito druhmi hrozieb by ste si mali sťahovať aplikácie iba z dôveryhodných zdrojov, ako je Obchod Play od spoločnosti Google alebo App Store od spoločnosti Apple.
Malá miera opatrnosti by tiež neuškodila, a to kontrolou počtu stiahnutí, celkového hodnotenia a niekoľkých komentárov používateľov.
V neposlednom rade vždy pomáha mať nastavené mobilné antivírusové riešenie a tiež venovať pozornosť povoliam udeleným rôznym aplikáciám.
