Egy új, veszélyes Android kémprogram, a ClayRat, népszerű alkalmazásoknak álcázva terjed, a többi között a WhatsApp, a Google Photos, a TikTok és a YouTube neve mögé bújva igyekszik becsapni a felhasználókat.
A rosszindulatú szoftver elsősorban orosz felhasználókat céloz, és Telegram-csatornákon, valamint hamis weboldalakon keresztül terjed, amelyek megtévesztésig hasonlítanak a valódi szolgáltatásokra. A fertőzött alkalmazások képesek SMS-eket olvasni és küldeni, hívásnaplókat gyűjteni, fényképeket készíteni, értesítéseket figyelni, sőt akár telefonhívásokat is indítani a fertőzött készülékekről.
A Zimperium mobilbiztonsági kutatói több mint 600 mintát és 50 különböző fertőző csomagot azonosítottak az elmúlt három hónapban, ami arra utal, hogy a támadók aktívan bővítik a kampányt. A kiberbűnözők meghamisított domainneveket és Play Áruház-szerű weboldalakat hoznak létre, ahol valósnak tűnő kommentekkel, letöltésszámokkal és részletes útmutatókkal ösztönzik a felhasználókat az APK-fájlok manuális telepítésére.
Néhány változat "droppereként" működik, amiben a látszólagos frissítési képernyő mögött egy titkosított kártevő rejtőzik, amely az Android 13+ védelmi korlátozásait is megkerüli. A Zimperium szerint ez a módszer csökkenti a gyanút, így a felhasználók nagyobb eséllyel engedélyezik a telepítést.
A telepítés után a ClayRat a készülék alapértelmezett SMS-kezelőjévé válik, így teljes hozzáférést kap minden beérkező üzenethez, és még azelőtt képes azokat módosítani vagy továbbítani, hogy azok másokhoz eljutnának. Ezután a program titkosított kommunikációt épít ki az irányító szerverrel, amely akár 12 különböző parancsot is küldhet neki.
A Zimperium - ami a Google App Defense Alliance tagja - megosztotta a teljes technikai jelentést és az azonosított kártevőmintákat a Google-lel, így a Play Protect már blokkolja a ClayRat ismert és új változatait is. A szakértők ugyanakkor figyelmeztetnek, hogy a kampány nagyon kiterjedt, és a támadók továbbra is aktívak, így azt javasolják, hogy a felhasználók csak a hivatalos Play Áruházból telepítsenek alkalmazásokat, és kerüljék a Telegramon vagy weboldalakon kínált APK-fájlokat, még akkor is, ha azok legitimnek tűnnek.
