Mobiilitietoturvayritys Zimperiumin tutkijat ovat havainneet kasvavan kampanjan, jossa Yli 600 näytettä havaittu ja 50 tiputtajaa osallisena, jota levitetään Telegram-kanavien ja laillisia portaaleja jäljittelevien huijaussivujen kautta. Sen ulottuvuus ja sosiaalisen manipuloinnin intensiivinen käyttö tekevät siitä uhka erityisen aktiivinen Android-ekosysteemissä, samankaltaisissa tapauksissa kuin Pegasus.
Näin se leviää: huijaussovellukset ja väärennetyt verkkosivustot
Kampanjan järjestäjät keräävät portaaleja, jotka jäljittelevät Google Play Store ja viralliset sivut Sovellukset, kuten WhatsApp, TikTok, YouTube ja Google Kuvat. Nämä sivustot näyttävät väärennettyjä arvosteluja, paisuteltuja latauslaskureita ja automatisoituja kommentteja luottamuksen luomiseksi.
Näiltä sivuilta uhreja pyydetään lataamaan Haitalliset APK:t Nämä esitetään päivityksinä tai premium-versioina. Monissa tapauksissa varsinainen lataus tapahtuu hyökkääjien hallitsemilla Telegram-kanavilla, joilla annetaan ohjeet asennuksen suorittamiseksi.
Onnistumisprosentin parantamiseksi huijarit neuvovat käyttäjiä salli asennus tuntemattomista lähteistä ja noudata ohjeita, jotka jäljittelevät laillisen sovelluksen ohjeita. Tämä skripti vähentää epäilyksiä ja auttaa tartuntaa jäämään huomaamatta.
Aktiivisuutta on erityisesti havaittu mm. Venäjän alue, vaikka ei ole takeita siitä, että toiminnan laajuus pysyy rajallisena ajan kuluessa. Visuaalisen matkimisen ja pikaviestinnän yhdistelmä helpottaa sen laajentumista muille markkinoille.
Asennusprosessi, joka ohittaa Android 13:n ja uudemmat versiot
Yksi silmiinpistävimmistä teknisistä ominaisuuksista on mekanismin käyttö istuntopohjainen asennus, joka kopioi oikeiden sovellusten asennusprosessin hälytysten minimoimiseksi. Tämä kiertää joitakin Android 13:ssa ja uudemmissa versioissa käyttöön otettuja rajoituksia.
Useat näytteet toimivat pipetteinä: Ne näyttävät väärennetyn Play Kaupan päivitysnäytön Samaan aikaan taustalla he lataavat ja suorittavat salatun haitallisen hyötykuorman. Kokemus vaikuttaa lailliselta, mutta tuloksena on vakoiluohjelman pääsy järjestelmään.
Asennuksen jälkeen ClayRat piiloutuu prosessien väliin ja muodostaa yhteyden. viestintä komento- ja ohjauspalvelimesi (C2) kanssa käyttämällä AES-GCM-salausta ja lähettämällä tietoja paloina. Tämä taktiikka vaikeuttaa havaitsemista perinteisillä tietoturvaratkaisuilla.
Mitä ClayRat voi tehdä vaarantuneelle puhelimelle
Haittaohjelma pyytää laajoja käyttöoikeuksia ja saattuaan ne yrittää liittää itsensä järjestelmään. oletusarvoinen tekstiviestisovellusTämän avulla voit lukea, siepata, muokata ja lähettää viestejä sekä häiritä viestisovelluksiin saapuvia ilmoituksia.
Sen ominaisuuksiin kuuluu valokuvien ottaminen etukamera ilman käyttäjän toimia, pääsy puhelulokiin, asennettujen sovellusten listaaminen, tiedon kerääminen laitteesta ja sen verkosta sekä jopa puheluiden soittaminen ja tekstiviestien lähettäminen.
- Asennettujen sovellusten luettelo (hae_sovelluksia_luettelo).
- Puheluhistoria (get_calls).
- Kuvien ottaminen etukameralla (get_camera).
- Tekstiviestien massaluku ja -lähetys (get_sms_list / messms).
- Soita puheluita ja lähetä viestejä päätteeltä (lähetä_tekstiviesti / soita_puhelu).
- Laite- ja verkkotietojen kerääminen (hae_laitetiedot).
- HTTP/HTTPS-liikenteen kapselointi WebSocket-tunnelit piilottaa yhteydet (hae_välityspalvelimen_tiedot).
Lisäksi ClayRat hyödyntää käyttäjää seuraavasti: lisäysajoneuvoLähettää latauslinkit automaattisesti kaikille yhteystiedoille, moninkertaistaen tartunnat hyökkääjien minimaalisella puuttumisella asiaan.
Lieventämis- ja torjuntatoimenpiteet
Ensimmäinen este on maalaisjärki: lataa ja asenna sovelluksia vain osoitteesta Google Play Store, vältä muokattuja tai oletettavasti premium-versioita ja ole varovainen kaikkien virallisen kaupan ulkopuolella tarjottavien päivitysten suhteen.
Tarkista päivittäin usein, että myönnetyt luvat ja tarkista, mikä sovellus on asetettu oletusarvoiseksi tekstiviestiohjelmaksi. Jos huomaat jotain epäilyttävää, peruuta käyttöoikeudet, poista sovellus ja skannaa laitteesi Play Protectilla tai toinen hyvämaineinen tietoturvaratkaisu.
Yritysympäristöissä on suositeltavaa soveltaa MDM/EMM-käytäntöjä lohkon sivulataus, valvoa laitteiden eheyttä ja valvoa sovellusten toimintaa sekä kouluttaa henkilöstöä henkilöllisyyden havaitsemisessa.
Tutkimuksen tila ja laajuus
Zimperium on luetteloinut tämän perheen palvelimen nimellä C2 ja vahvistaa a jatkuva aktiivisuus useilla varianteillamuistuttaa uhkauksia, kuten KOSPYErikoistuneet mediat ovat varoittaneet sen kehityksestä ja visuaalisen henkilöllisyyden anastamisen sekä Telegram-kanavien intensiivisestä käytöstä sisääntuloväylänä.
ClayRatin piirtämä kuva on selkeä: WhatsAppiksi ja TikTokiksi tekeytyvät vakoiluohjelmat hyödyntävät kaupan ulkopuolella olevaa asennusta, vähentävät varoitusmerkkejä ja varastaa tietoja suurella salaa, samalla kun se leviää kontaktien keskuudessa. Latausten pitäminen virallisissa kanavissa, käyttöoikeuksien valvonta ja kriittisten käyttöoikeuksien myöntämättä jättäminen tuntemattomille sovelluksille on edelleen tehokkain strategia turvallisuuden ylläpitämiseksi.
