新型安卓軟件ClayRat通過(guò)仿冒YouTube等熱門(mén)應(yīng)用發(fā)起攻擊

一款名為ClayRat的新型安卓間諜軟件，正通過(guò)偽裝成谷歌相冊(cè)、TikTok、YouTube等熱門(mén)應(yīng)用及服務(wù)，誘騙潛在受害者。

該惡意軟件以俄羅斯用戶(hù)為攻擊目標(biāo)，攻擊渠道包括Telegram頻道和看似正規(guī)的惡意網(wǎng)站。它能夠竊取短信、通話(huà)記錄、通知，還能拍攝照片，甚至撥打電話(huà)。

移動(dòng)安全公司Zimperium的惡意軟件研究人員表示，在過(guò)去三個(gè)月里，他們已記錄到600多個(gè)該軟件樣本以及50個(gè)不同的投放程序。這一數(shù)據(jù)表明，攻擊者正積極采取行動(dòng)，擴(kuò)大攻擊規(guī)模。

新型安卓間諜軟件ClayRat攻擊行動(dòng)

ClayRat攻擊行動(dòng)以該惡意軟件的命令與控制（C2）服務(wù)器命名。該行動(dòng)用精心設(shè)計(jì)的釣魚(yú)入口和已注冊(cè)域名，這些入口和域名與正規(guī)服務(wù)頁(yè)面高度相似。

這些網(wǎng)站要么直接提供安卓安裝包文件（APK），要么將訪客重定向至提供該文件的Telegram頻道，而受害者對(duì)此毫不知情。

為讓這些網(wǎng)站顯得真實(shí)可信，攻擊者添加了虛假評(píng)論、虛增了下載量，還設(shè)計(jì)了類(lèi)似谷歌應(yīng)用商店的虛假用戶(hù)界面，并附上如何側(cè)載APK文件以及繞過(guò)安卓安全警告的分步說(shuō)明。

在后臺(tái)加載間諜軟件的虛假更新來(lái)源

Zimperium指出，部分ClayRat惡意軟件樣本起到投放程序的作用。用戶(hù)看到的應(yīng)用界面是虛假的谷歌應(yīng)用商店更新頁(yè)面，而加密的有效負(fù)載則隱藏在應(yīng)用的資源文件中。

該惡意軟件采用“基于會(huì)話(huà)”的安裝方式在設(shè)備中潛伏，以此繞過(guò)安卓13及以上版本的系統(tǒng)限制，并降低用戶(hù)的懷疑。這種基于會(huì)話(huà)的安裝方式降低了用戶(hù)感知到的風(fēng)險(xiǎn)，提高了用戶(hù)訪問(wèn)某一網(wǎng)頁(yè)后，間諜軟件成功安裝的可能性。

一旦在設(shè)備上激活，該惡意軟件會(huì)將當(dāng)前設(shè)備作為跳板，向受害者的聯(lián)系人列表發(fā)送短信，進(jìn)而利用這一新“宿主”感染更多受害者。

Telegram傳播ClayRat植入程序

ClayRat間諜軟件的功能

在受感染設(shè)備上，ClayRat間諜軟件會(huì)獲取默認(rèn)短信處理程序權(quán)限。這使得它能夠讀取所有收到的和已存儲(chǔ)的短信，在其他應(yīng)用之前攔截短信，還能修改短信數(shù)據(jù)庫(kù)。

ClayRat成為默認(rèn)的SMS處理程序

該間諜軟件會(huì)與C2服務(wù)器建立通信，其最新版本中采用AES-GCM加密算法進(jìn)行通信加密。之后，它會(huì)接收12種支持的命令中的一種，具體命令如下：

·get_apps_list——向C2服務(wù)器發(fā)送已安裝應(yīng)用列表

·get_calls——發(fā)送通話(huà)記錄

·get_camera——拍攝前置攝像頭照片并發(fā)送至服務(wù)器

·get_sms_list——竊取短信

·messsms——向所有聯(lián)系人群發(fā)短信

·send_sms/make_call——從設(shè)備發(fā)送短信或撥打電話(huà)

·notifications/get_push_notifications——捕獲通知和推送數(shù)據(jù)

·get_device_info——收集設(shè)備信息

·get_proxy_data——獲取代理WebSocket鏈接，附加設(shè)備ID，并初始化連接對(duì)象（將HTTP/HTTPS協(xié)議轉(zhuǎn)換為WebSocket協(xié)議，同時(shí)安排任務(wù)執(zhí)行）

·retransmishion——向從C2服務(wù)器接收到的號(hào)碼重發(fā)短信

一旦獲得所需權(quán)限，該間諜軟件會(huì)自動(dòng)獲取聯(lián)系人信息，并通過(guò)程序編寫(xiě)短信，向所有聯(lián)系人發(fā)送，從而實(shí)現(xiàn)大規(guī)模傳播。

目前，Zimperium已與Google共享了完整的 IoC，谷歌Play Protect現(xiàn)在能攔截ClayRat間諜軟件的已知版本和新型變種。但研究人員強(qiáng)調(diào)，該攻擊行動(dòng)規(guī)模龐大，僅三個(gè)月內(nèi)就記錄到了600多個(gè)相關(guān)樣本，因此需要繼續(xù)持謹(jǐn)慎態(tài)度應(yīng)對(duì)。

參考及來(lái)源：https://www.bleepingcomputer.com/news/security/new-android-spyware-clayrat-imitates-whatsapp-tiktok-youtube/