Một chiến dịch phần mềm gián điệp Android đang phát triển nhanh chóng có tên ClayRat đã nhắm mục tiêu vào người dùng ở Nga bằng cách sử dụng kết hợp các kênh Telegram và các trang web lừa đảo giả mạo các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube làm mồi nhử để cài đặt chúng.
Sau khi hoạt động, phần mềm gián điệp có thể đánh cắp tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin thiết bị; chụp ảnh bằng camera trước; và thậm chí gửi tin nhắn SMS hoặc thực hiện cuộc gọi trực tiếp từ thiết bị của nạn nhân," nhà nghiên cứu Vishnu Pratapagiri của Zimperium cho biết trong một báo cáo được chia sẻ với The Hacker News.
Phần mềm độc hại này cũng được thiết kế để tự lây lan bằng cách gửi các liên kết độc hại đến mọi liên hệ trong danh bạ điện thoại của nạn nhân, cho thấy chiến thuật hung hãn của những kẻ tấn công nhằm tận dụng các thiết bị bị xâm nhập làm vector phân phối.
Công ty bảo mật di động cho biết họ đã phát hiện không dưới 600 mẫu và 50 droppers trong 90 ngày qua, với mỗi lần lặp lại kế tiếp đều tích hợp các lớp obfuscation mới để tránh các nỗ lực phát hiện và đi trước các biện pháp phòng thủ an ninh. Tên phần mềm độc hại là một tham chiếu đến bảng điều khiển command-and-control (C2) có thể được sử dụng để quản lý từ xa các thiết bị bị nhiễm.
Chuỗi tấn công liên quan đến việc chuyển hướng những người truy cập không nghi ngờ đến các trang web giả mạo này đến các kênh Telegram dưới sự kiểm soát của đối thủ, từ đó họ bị lừa tải xuống các tệp APK bằng cách thổi phồng số lượt tải xuống một cách giả tạo và chia sẻ các lời chứng thực được tạo ra để chứng minh sự phổ biến của chúng.
Trong các trường hợp khác, các trang web giả mạo tuyên bố cung cấp "YouTube Plus" với các tính năng cao cấp đã được tìm thấy để lưu trữ các tệp APK có thể bỏ qua các biện pháp bảo vệ an ninh do Google thực thi để ngăn chặn việc sideloading ứng dụng trên các thiết bị chạy Android 13 trở lên.
"Để bỏ qua các hạn chế của nền tảng và sự cản trở được bổ sung trong các phiên bản Android mới hơn, một số mẫu ClayRat hoạt động như các droppers: ứng dụng hiển thị chỉ là một trình cài đặt nhẹ hiển thị màn hình cập nhật Play Store giả, trong khi payload được mã hóa thực sự được ẩn bên trong tài sản của ứng dụng," công ty cho biết. "Phương pháp cài đặt dựa trên phiên này làm giảm rủi ro nhận thức và tăng khả năng một lượt truy cập trang web sẽ dẫn đến việc cài đặt phần mềm gián điệp."
Sau khi được cài đặt, ClayRat sử dụng HTTP tiêu chuẩn để giao tiếp với hạ tầng C2 của nó và yêu cầu người dùng đặt nó làm ứng dụng SMS mặc định để truy cập vào nội dung nhạy cảm và các chức năng nhắn tin, từ đó cho phép nó bí mật thu thập nhật ký cuộc gọi, tin nhắn văn bản, thông báo và phổ biến phần mềm độc hại hơn nữa đến mọi liên hệ khác.
Một số tính năng khác của phần mềm độc hại bao gồm thực hiện cuộc gọi điện thoại, lấy thông tin thiết bị, chụp ảnh bằng camera của thiết bị và gửi danh sách tất cả các ứng dụng đã cài đặt đến máy chủ C2.
ClayRat là một mối đe dọa mạnh mẽ không chỉ vì khả năng giám sát của nó, mà còn vì khả năng biến một thiết bị bị nhiễm thành một nút phân phối tự động, cho phép các tác nhân đe dọa mở rộng phạm vi tiếp cận của họ một cách nhanh chóng mà không cần bất kỳ sự can thiệp thủ công nào.
Sự phát triển này diễn ra khi các nhà nghiên cứu từ Đại học Luxembourg và Université Cheikh Anta Diop phát hiện ra rằng các ứng dụng được cài đặt sẵn trên các điện thoại thông minh Android giá rẻ được bán ở Châu Phi hoạt động với các đặc quyền nâng cao, với một gói do nhà cung cấp cung cấp truyền các định danh thiết bị và chi tiết vị trí cho một bên thứ ba bên ngoài.
Nghiên cứu đã kiểm tra 1.544 tệp APK được thu thập từ bảy điện thoại thông minh Châu Phi, cho thấy rằng "145 ứng dụng (9%) tiết lộ dữ liệu nhạy cảm, 249 (16%) làm lộ các thành phần quan trọng mà không có đủ biện pháp bảo vệ, và nhiều ứng dụng khác còn tiềm ẩn rủi ro bổ sung: 226 thực thi các lệnh đặc quyền hoặc nguy hiểm, 79 tương tác với tin nhắn SMS (đọc, gửi hoặc xóa) và 33 thực hiện các hoạt động cài đặt âm thầm."
