Попередження про кампанію з перетворення телефонів Android на шпигунські інструменти

Хакери використовують знайомий, але надзвичайно ефективний трюк: створюють підроблені версії найпопулярніших додатків, таких як WhatsApp, TikTok, Google Photos та YouTube, щоб обманом змусити користувачів встановити їх.

Кампанія використовує комбінацію каналів Telegram та фішингових веб-сайтів для поширення шкідливого програмного забезпечення.

Згідно зі звітом компанії з кібербезпеки Zimperium, ланцюжок атак ClayRat був дуже добре організованим.

По-перше, користувачів заманюють на фальшиві веб-сайти, які обіцяють запропонувати версії програми «Plus» з преміум-функціями, такими як YouTube Plus.

З цих сайтів жертв перенаправляють на контрольовані зловмисниками канали Telegram, де вони використовують такі хитрощі, як штучне завищення кількості завантажень та розміщення фальшивих відгуків, щоб створити враження надійності застосунку.

Потім жертву обманом змушують завантажити та встановити APK-файл, що містить шкідливе програмне забезпечення ClayRat.

«Після успішного проникнення це шпигунське програмне забезпечення може красти SMS-повідомлення, журнали викликів, сповіщення та інформацію про пристрій; таємно робити фотографії за допомогою фронтальної камери та навіть автоматично надсилати повідомлення або здійснювати дзвінки з власного пристрою жертви», – сказав експерт з кібербезпеки Вішну Пратапагірі з компанії Zimperium.

Найстрашніша частина ClayRat — це не лише крадіжка даних. Розроблене для самореплікації, шкідливе програмне забезпечення автоматично надсилатиме шкідливі посилання всім у списку контактів жертви, перетворюючи заражений телефон на вузол поширення вірусу, дозволяючи зловмисникам масштабуватися без ручного втручання.

Протягом останніх 90 днів Zimperium виявив не менше 600 зразків шкідливого програмного забезпечення та 50 програм-«приманок», що свідчить про те, що зловмисники постійно вдосконалюються, додаючи нові шари камуфляжу, щоб обійти програмне забезпечення безпеки.

Подолання бар'єрів

Для пристроїв під управлінням Android 13 і вище з посиленими заходами безпеки ClayRat використовує більш витончений трюк. Підроблений додаток спочатку виглядає як простий інсталятор.

Під час запуску відображається підроблений екран оновлення Play Store, водночас непомітно завантажується та встановлюється основне зашифроване шкідливе програмне забезпечення, приховане всередині.

Після встановлення ClayRat попросить користувача надати дозвіл стати SMS-додатком за замовчуванням, щоб мати повний доступ до повідомлень і журналів викликів та контролювати їх.

Поява ClayRat є частиною більш тривожної тенденції в безпеці в екосистемі Android.

Нещодавнє дослідження, проведене Люксембурзьким університетом, також показало, що багато дешевих смартфонів Android, що продаються в Африці, мають попередньо встановлені програми, які працюють з високими привілеями, непомітно надсилаючи ідентифікаційні дані та дані про місцезнаходження користувачів третім сторонам.

Google заявила, що користувачі Android будуть автоматично захищені від відомих версій цього шкідливого програмного забезпечення за допомогою Google Play Protect, функції, яка ввімкнена за замовчуванням на пристроях із сервісами Google Play.

Однак загроза з боку нових варіантів та неофіційних джерел встановлення залишається попередженням для всіх користувачів.

Джерело: https://dantri.com.vn/cong-nghe/canh-bao-chien-dich-bien-dien-thoai-android-thanh-cong-cu-gian-diep-20251013135854141.htm