新型安卓軟件ClayRat通過仿冒YouTube等熱門應用發起攻擊

一款名為ClayRat的新型安卓間諜軟件，正通過偽裝成谷歌相冊、TikTok、YouTube等熱門應用及服務，誘騙潛在受害者。

該惡意軟件以俄羅斯用戶為攻擊目標，攻擊渠道包括Telegram頻道和看似正規的惡意網站。它能夠竊取短信、通話記錄、通知，還能拍攝照片，甚至撥打電話。

移動安全公司Zimperium的惡意軟件研究人員表示，在過去三個月里，他們已記錄到600多個該軟件樣本以及50個不同的投放程序。這一數據表明，攻擊者正積極采取行動，擴大攻擊規模。

新型安卓間諜軟件ClayRat攻擊行動

ClayRat攻擊行動以該惡意軟件的命令與控制（C2）服務器命名。該行動用精心設計的釣魚入口和已注冊域名，這些入口和域名與正規服務頁面高度相似。

這些網站要么直接提供安卓安裝包文件（APK），要么將訪客重定向至提供該文件的Telegram頻道，而受害者對此毫不知情。

為讓這些網站顯得真實可信，攻擊者添加了虛假評論、虛增了下載量，還設計了類似谷歌應用商店的虛假用戶界面，并附上如何側載APK文件以及繞過安卓安全警告的分步說明。

在后臺加載間諜軟件的虛假更新來源

Zimperium指出，部分ClayRat惡意軟件樣本起到投放程序的作用。用戶看到的應用界面是虛假的谷歌應用商店更新頁面，而加密的有效負載則隱藏在應用的資源文件中。

該惡意軟件采用“基于會話”的安裝方式在設備中潛伏，以此繞過安卓13及以上版本的系統限制，并降低用戶的懷疑。這種基于會話的安裝方式降低了用戶感知到的風險，提高了用戶訪問某一網頁后，間諜軟件成功安裝的可能性。

一旦在設備上激活，該惡意軟件會將當前設備作為跳板，向受害者的聯系人列表發送短信，進而利用這一新“宿主”感染更多受害者。

Telegram傳播ClayRat植入程序

ClayRat間諜軟件的功能

在受感染設備上，ClayRat間諜軟件會獲取默認短信處理程序權限。這使得它能夠讀取所有收到的和已存儲的短信，在其他應用之前攔截短信，還能修改短信數據庫。

ClayRat成為默認的SMS處理程序

該間諜軟件會與C2服務器建立通信，其最新版本中采用AES-GCM加密算法進行通信加密。之后，它會接收12種支持的命令中的一種，具體命令如下：

·get_apps_list——向C2服務器發送已安裝應用列表

·get_calls——發送通話記錄

·get_camera——拍攝前置攝像頭照片并發送至服務器

·get_sms_list——竊取短信

·messsms——向所有聯系人群發短信

·send_sms/make_call——從設備發送短信或撥打電話

·notifications/get_push_notifications——捕獲通知和推送數據

·get_device_info——收集設備信息

·get_proxy_data——獲取代理WebSocket鏈接，附加設備ID，并初始化連接對象（將HTTP/HTTPS協議轉換為WebSocket協議，同時安排任務執行）

·retransmishion——向從C2服務器接收到的號碼重發短信

一旦獲得所需權限，該間諜軟件會自動獲取聯系人信息，并通過程序編寫短信，向所有聯系人發送，從而實現大規模傳播。

目前，Zimperium已與Google共享了完整的 IoC，谷歌Play Protect現在能攔截ClayRat間諜軟件的已知版本和新型變種。但研究人員強調，該攻擊行動規模龐大，僅三個月內就記錄到了600多個相關樣本，因此需要繼續持謹慎態度應對。

參考及來源：https://www.bleepingcomputer.com/news/security/new-android-spyware-clayrat-imitates-whatsapp-tiktok-youtube/