Een snel evoluerende Android-spywarecampagne genaamd ClayRat heeft zich op gebruikers in Rusland gericht met behulp van een mix van Telegram-kanalen en vergelijkbare phishing-websites door zich voor te doen als populaire apps zoals WhatsApp, Google Photos, TikTok en YouTube als lokmiddel om ze te installeren.
“Eenmaal actief kan de spyware sms-berichten, oproeplogboeken, meldingen en apparaatinformatie exfiltreren; foto’s maken met de camera aan de voorkant; en zelfs sms-berichten verzenden of bellen rechtstreeks vanaf het apparaat van het slachtoffer”, zei Zimperium-onderzoeker Vishnu Pratapagiri in een rapport gedeeld met The Hacker News.
De malware is ook ontworpen om zichzelf te verspreiden door kwaadaardige links naar elk contact in het telefoonboek van het slachtoffer te sturen, wat duidt op agressieve tactieken van de aanvallers om gecompromitteerde apparaten als distributievector te gebruiken.
Het mobiele beveiligingsbedrijf zei dat het de afgelopen 90 dagen niet minder dan 600 monsters en 50 droppers heeft gedetecteerd, waarbij elke opeenvolgende iteratie nieuwe lagen van verduistering bevat om detectie-inspanningen te omzeilen en de veiligheidsverdediging voor te blijven. De naam van de malware is een verwijzing naar het command-and-control (C2)-paneel dat kan worden gebruikt om de geïnfecteerde apparaten op afstand te beheren.
De aanvalsketen bestaat uit het omleiden van nietsvermoedende bezoekers naar deze nepsites naar Telegram-kanalen onder de controle van de tegenstander, vanwaar ze worden misleid om APK-bestanden te downloaden door het aantal downloads kunstmatig te verhogen en gefabriceerde getuigenissen te delen als bewijs van hun populariteit.
In andere gevallen is gebleken dat valse websites die beweren ‘YouTube Plus’ met premiumfuncties aan te bieden, APK-bestanden hosten die de door Google opgelegde beveiligingsmaatregelen kunnen omzeilen om sideloading van apps op apparaten met Android 13 en hoger te voorkomen.
“Om platformbeperkingen en de extra wrijving die in nieuwere Android-versies wordt geïntroduceerd te omzeilen, fungeren sommige ClayRat-voorbeelden als droppers: de zichtbare app is slechts een lichtgewicht installatieprogramma dat een nep Play Store-updatescherm weergeeft, terwijl de daadwerkelijke gecodeerde lading verborgen is in de activa van de app”, aldus het bedrijf. “Deze op sessies gebaseerde installatiemethode verlaagt het waargenomen risico en vergroot de kans dat een bezoek aan een webpagina resulteert in de installatie van spyware.”
Eenmaal geïnstalleerd, gebruikt ClayRat standaard HTTP om te communiceren met zijn C2-infrastructuur en vraagt hij gebruikers om er de standaard sms-applicatie van te maken om toegang te krijgen tot gevoelige inhoud en berichtenfuncties, waardoor het heimelijk oproeplogboeken, sms-berichten en meldingen kan vastleggen en de malware verder kan verspreiden naar elk ander contact.
Enkele van de andere kenmerken van de malware zijn onder meer het voeren van telefoongesprekken, het verkrijgen van apparaatinformatie, het maken van foto’s met de camera van het apparaat en het verzenden van een lijst met alle geïnstalleerde applicaties naar de C2-server.
ClayRat is niet alleen een krachtige bedreiging vanwege zijn bewakingsmogelijkheden, maar ook vanwege zijn vermogen om een geïnfecteerd apparaat op geautomatiseerde wijze in een distributieknooppunt te veranderen, waardoor de bedreigingsactoren hun bereik snel kunnen vergroten zonder enige handmatige tussenkomst.
De ontwikkeling komt nadat academici van de Universiteit van Luxemburg en Université Cheikh Anta Diop ontdekten dat vooraf geïnstalleerde apps van goedkope Android-smartphones die in Afrika worden verkocht, met verhoogde rechten werken, waarbij één door de leverancier geleverd pakket apparaat-ID’s en locatiegegevens naar een externe derde partij verzendt.
De studie onderzocht 1.544 APK’s verzameld van zeven Afrikaanse smartphones, waarbij werd vastgesteld dat “145 applicaties (9%) gevoelige gegevens vrijgeven, 249 (16%) kritische componenten blootleggen zonder voldoende waarborgen, en dat vele extra risico’s met zich meebrengen: 226 voeren bevoorrechte of gevaarlijke commando’s uit, 79 communiceren met sms-berichten (lezen, verzenden of verwijderen) en 33 voeren stille installatiebewerkingen uit. “
