Предупреждение о кампании по превращению телефонов Android в шпионские инструменты

Хакеры используют знакомый, но чрезвычайно эффективный прием: создают поддельные версии самых популярных приложений, таких как WhatsApp, TikTok, Google Photos и YouTube, чтобы обманом заставить пользователей установить их.

Для распространения вредоносного ПО кампания использует комбинацию каналов Telegram и фишинговых сайтов.

По данным отчета компании Zimperium, занимающейся кибербезопасностью, цепочка атак ClayRat была очень хорошо организована.

Сначала пользователей заманивают на поддельные веб-сайты, обещающие предложить «Плюс»-версии приложения с премиум-функциями, такими как YouTube Plus.

С этих сайтов жертвы перенаправляются на контролируемые злоумышленниками каналы Telegram, где они используют такие уловки, как искусственное завышение количества загрузок и распространение поддельных отзывов, чтобы создать впечатление, что приложение заслуживает доверия.

Затем жертву обманным путем заставляют загрузить и установить APK-файл, содержащий вредоносное ПО ClayRat.

«После успешного внедрения эта шпионская программа может красть SMS-сообщения, журналы вызовов, уведомления и информацию об устройстве, тайно делать фотографии фронтальной камерой и даже автоматически отправлять сообщения или совершать звонки с устройства жертвы», — заявил эксперт по кибербезопасности Вишну Пратапагири из компании Zimperium.

Самое страшное в ClayRat — это не только кража данных. Вредоносная программа, способная к самокопированию, автоматически рассылает вредоносные ссылки всем контактам жертвы, превращая зараженный телефон в узел распространения вируса и позволяя злоумышленникам масштабировать свою деятельность без ручного вмешательства.

За последние 90 дней Zimperium обнаружил не менее 600 образцов вредоносного ПО и 50 приложений-«обманок», что свидетельствует о том, что злоумышленники постоянно совершенствуются, добавляя новые уровни маскировки для обхода программного обеспечения безопасности.

Преодоление барьеров

Для устройств под управлением Android 13 и выше с усиленными мерами безопасности ClayRat использует более изощрённый трюк. Поддельное приложение изначально выглядит как простой установщик.

При запуске он отображает поддельный экран обновления Play Store, одновременно незаметно загружая и устанавливая основное зашифрованное вредоносное ПО, скрытое внутри.

После установки ClayRat запросит у пользователя разрешение стать приложением для обмена SMS по умолчанию, чтобы иметь полный доступ и управлять сообщениями и журналами вызовов.

Появление ClayRat является частью более тревожной тенденции в сфере безопасности в экосистеме Android.

Недавнее исследование Университета Люксембурга также показало, что многие недорогие Android-смартфоны, продаваемые в Африке, имеют предустановленные приложения, которые работают с высокими привилегиями, незаметно отправляя третьим лицам идентификационные данные и данные о местоположении пользователя.

Компания Google заявила, что пользователи Android будут автоматически защищены от известных версий этого вредоносного ПО с помощью Google Play Protect — функции, которая по умолчанию включена на устройствах с сервисами Google Play.

Однако угроза со стороны новых вариантов и неофициальных источников установки остается предупреждением для всех пользователей.

Источник: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm