Các cuộc tấn công mạng di động đang bước vào giai đoạn tinh vi và nguy hiểm hơn: ClayRat Đây là phần mềm gián điệp dành cho Android ngụy trang thành các ứng dụng quen thuộc như WhatsApp o TikTok để đánh cắp dữ liệu và phát tán trong số những người liên lạc.
Theo các nhà nghiên cứu từ simperium, hoạt động này đang phát triển với tốc độ tốt và đã tích lũy được hơn 600 mẫu và 50 ống nhỏ giọt, phân phối thông qua Các kênh và trang web Telegram giả mạo là chính thức, bao gồm Cửa hàng TikTok giả mạoDo phạm vi tiếp cận và kỹ thuật xã hội, đây là một chiến dịch đặc biệt tích cực.
ClayRat là gì và tại sao nó lại được coi là một ứng dụng phổ biến?
Được đặt tên theo cơ sở hạ tầng chỉ huy và kiểm soát của nó, ClayRat kết hợp trộm cắp danh tính với lừa đảo nâng cao. Những kẻ tấn công dựng lên những cánh cổng mô phỏng giao diện của Google Play hoặc từ các trang WhatsApp, TikTok, YouTube hoặc Google Photos, có hướng dẫn cài đặt APK theo cách thủ công.
Những trang web này hiển thị các bài đánh giá bịa đặt, số lượt tải xuống được thổi phồng và các bình luận được tạo ra để tạo sự tự tin. Câu nói được củng cố bằng những phiên bản được cho là của "Hơn” hoặc phiên bản “cao cấp” của các ứng dụng phổ biến, trong khi thực tế người dùng đang cho phép cài đặt phần mềm gián điệp.
Chuỗi lây nhiễm: cài đặt "mỗi phiên" và trình nhỏ giọt
Một trong những điểm mạnh của nó là phương pháp cài đặt dựa trên phiên mà giảm cảnh báo có thể nhìn thấy và giúp đỡ bỏ qua các hạn chế được giới thiệu trong Android 13 và các phiên bản sau này, mô phỏng luồng ứng dụng hợp pháp. Những kỹ thuật này trái ngược với những cải tiến về bảo mật được mang lại bởi các phiên bản như Android 13 trở lên.
Nhiều biến thể hoạt động như ống nhỏ giọt: hiển thị một màn hình cập nhật Cửa hàng Play giả mạo trong khi tải xuống và chạy ở chế độ nền tải trọng được mã hóa. Phần mềm độc hại sau đó ẩn mình giữa các quy trình hệ thống, chờ kết nối với máy chủ từ xa. Các cơ chế này gợi nhớ đến các mối đe dọa khác như droppers và Trojan di động.
Những gì bạn có thể làm khi đã vào trong điện thoại
Khi thiết bị bị nhiễm, ClayRat yêu cầu các quyền nhạy cảm (SMS, danh bạ, camera và micrô) và cố gắng là ứng dụng SMS mặc định. Với điều này, bạn có thể chặn, đọc và sửa đổi tin nhắn trước khi chúng đến được các ứng dụng khác, một rủi ro là một phần của nguy cơ phần mềm độc hại di động.
Ngoài ra, phần mềm gián điệp có khả năng trích xuất tin nhắn SMS, ghi lại thông báo, kiểm tra nhật ký cuộc gọi, chụp ảnh bằng camera trước và thậm chí thực hiện cuộc gọi hoặc gửi tin nhắn mà không cần sự can thiệp của người dùng.
- lấy_danh_sách_ứng_dụng: gửi danh sách các ứng dụng đã cài đặt.
- lấy_cuộc_gọi: Thu thập nhật ký cuộc gọi từ thiết bị.
- lấy_máy_ảnh: Chụp ảnh bằng camera trước và tải lên máy chủ.
- get_sms_list / messms: Đánh cắp tin nhắn SMS hoặc gửi thư hàng loạt để phát tán.
- gửi tin nhắn / thực hiện cuộc gọi: Thực hiện cuộc gọi hoặc gửi tin nhắn từ số điện thoại của nạn nhân.
- lấy_thông_tin_thiết_bị: Lấy dữ liệu từ thiết bị và mạng.
- lấy_dữ_liệu_proxy: chuyển đổi lưu lượng HTTP/HTTPS thành Đường hầm WebSocket để ngụy trang thông tin liên lạc.
Đối với giao tiếp, ClayRat sử dụng Mã hóa AES-GCM y truyền dữ liệu bị phân mảnh để làm phức tạp việc phát hiện. Chức năng proxy cho phép lưu lượng C2 được ẩn đằng sau Đường hầm dựa trên WebSocket.
Chiến dịch cũng dựa trên sự lan truyền tự động: Mọi điện thoại bị xâm phạm đều bị khai thác như nút phân phối chuyển tiếp các liên kết độc hại qua SMS đến toàn bộ danh sách liên lạc, do đó tăng cường phạm vi tấn công.
Phạm vi chiến dịch và phản ứng của ngành
Trong những tháng gần đây, Zimperium đã xác định hơn 600 mẫu Và xung quanh 50 ống nhỏ giọt khác nhau, một tập thể hiện một hoạt động đang phát triển. Một số báo cáo đặt hoạt động này vào vị trí ban đầu với tỷ lệ mắc bệnh cao nhất ở Nga, có tiềm năng mở rộng sang các quốc gia khác.
Các chỉ số về sự xâm phạm đã được chia sẻ với Google và chơi Protect ya khối các biến thể đã biết. Mặc dù vậy, các chuyên gia nhấn mạnh rằng chiến dịch vẫn đang diễn ra và biện pháp phòng thủ tốt nhất là tránh các cài đặt từ liên kết bên ngoài hoặc kênh Telegram.
Làm thế nào để giảm thiểu rủi ro
Khuyến nghị chính rất đơn giản: Không cài đặt APK từ các nguồn không xác địnhHãy cảnh giác với các phiên bản "Plus" hoặc "cao cấp" của các ứng dụng phổ biến và tránh nhấp vào các liên kết tải xuống trên mạng xã hội hoặc tin nhắn.
- Giữ cho hệ thống được cập nhật và hoạt động Google Play Bảo vệ để quét liên tục.
- Kiểm tra thường xuyên quyền từ các ứng dụng (SMS, camera, micrô, danh bạ) và thu hồi các ứng dụng không cần thiết.
- Kiểm tra xem ứng dụng nào là SMS mặc định và khôi phục lại bản chính thức nếu có gì thay đổi mà không có sự đồng ý của bạn.
- Hãy chú ý đến các dấu hiệu cảnh báo: tin nhắn gửi đi trái phép, pin hoặc dữ liệu tăng đột biến và hành vi lạ.
- Dùng dung dịch của bảo mật di động có uy tín trong việc phát hiện các tác nhân gây bệnh và hoạt động C2.
Nếu bạn nghi ngờ nhiễm trùng, điều hiệu quả nhất là ngắt kết nối thiết bị, sao chép những gì cần thiết, khôi phục cài đặt gốc và chỉ cài đặt lại các ứng dụng từ Google playThay đổi mật khẩu và bật xác minh hai bước cho các dịch vụ quan trọng.
ClayRat đã chứng minh phần mềm gián điệp có thể mạo danh WhatsApp và TikTok Để vi phạm lòng tin của người dùng, tránh né các biện pháp phòng thủ gần đây của Android và lợi dụng chính nạn nhân làm nền tảng cho cuộc tấn công, thì biện pháp hiệu quả nhất hiện nay là hết sức thận trọng với các nguồn tải xuống và quyền.
