Ostrzeżenie przed kampanią mającą na celu przekształcenie telefonów z Androidem w narzędzia szpiegowskie

Hakerzy stosują znaną, ale niezwykle skuteczną sztuczkę: tworzą fałszywe wersje najpopularniejszych aplikacji, takich jak WhatsApp, TikTok, Google Photos i YouTube, aby nakłonić użytkowników do ich zainstalowania.

W celu rozprzestrzeniania złośliwego oprogramowania kampania wykorzystuje połączenie kanałów Telegram i witryn phishingowych.

Według raportu firmy zajmującej się bezpieczeństwem cybernetycznym Zimperium, łańcuch ataków ClayRat był bardzo dobrze zorganizowany.

Po pierwsze, użytkownicy są zwabiani na fałszywe strony internetowe, które obiecują oferowanie wersji „Plus” aplikacji z funkcjami premium, takimi jak YouTube Plus.

Z tych stron ofiary są kierowane na kontrolowane przez atakujących kanały w serwisie Telegram, gdzie stosują oni takie sztuczki, jak sztuczne zawyżanie liczby pobrań i umieszczanie fałszywych opinii, aby aplikacja wydawała się godna zaufania.

Następnie ofiara zostaje oszukana i nakłoniona do pobrania i zainstalowania pliku APK zawierającego złośliwe oprogramowanie ClayRat.

„Po skutecznej infiltracji ten program szpiegujący potrafi kraść wiadomości SMS, rejestry połączeń, powiadomienia i informacje o urządzeniu; potajemnie robić zdjęcia przednim aparatem, a nawet automatycznie wysyłać wiadomości lub wykonywać połączenia z urządzenia ofiary” – powiedział ekspert ds. cyberbezpieczeństwa Vishnu Pratapagiri z Zimperium Company.

Najbardziej przerażającą cechą ClayRat jest nie tylko kradzież danych. Zaprojektowane tak, aby samo się replikowało, złośliwe oprogramowanie automatycznie wysyła złośliwe linki do wszystkich osób z listy kontaktów ofiary, zamieniając zainfekowany telefon w węzeł rozprzestrzeniający wirusa, umożliwiając atakującym skalowanie bez ręcznej interwencji.

W ciągu ostatnich 90 dni Zimperium wykryło nie mniej niż 600 próbek złośliwego oprogramowania i 50 aplikacji „wabiących”, co pokazuje, że atakujący stale się udoskonalają, dodając nowe warstwy kamuflażu, aby omijać oprogramowanie zabezpieczające.

Pokonywanie barier

W przypadku urządzeń z systemem Android 13 i nowszym, z zaostrzonymi zabezpieczeniami, ClayRat stosuje bardziej wyrafinowaną sztuczkę. Fałszywa aplikacja początkowo wygląda jak lekki instalator.

Po uruchomieniu wyświetla fałszywy ekran aktualizacji Sklepu Play, jednocześnie potajemnie pobierając i instalując ukryte w środku główne zaszyfrowane złośliwe oprogramowanie.

Po zainstalowaniu ClayRat poprosi użytkownika o zezwolenie na ustawienie aplikacji jako domyślnej aplikacji SMS, aby uzyskać pełny dostęp do wiadomości i rejestru połączeń oraz możliwość kontrolowania ich.

Pojawienie się ClayRat wpisuje się w niepokojący trend dotyczący bezpieczeństwa w ekosystemie Android.

Niedawno przeprowadzone przez Uniwersytet Luksemburski badanie wykazało również, że wiele tanich smartfonów z Androidem sprzedawanych w Afryce ma preinstalowane aplikacje, które działają z dużymi uprawnieniami, po cichu wysyłając dane identyfikacyjne i lokalizację użytkowników osobom trzecim.

Google poinformowało, że użytkownicy systemu Android będą automatycznie chronieni przed znanymi wersjami tego złośliwego oprogramowania za pośrednictwem funkcji Google Play Protect, która jest domyślnie włączona na urządzeniach z usługami Google Play.

Jednak zagrożenie ze strony nowych wariantów i nieoficjalnych źródeł instalacji pozostaje ostrzeżeniem dla wszystkich użytkowników.

Source: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm