一款名为 ClayRat 的新型安卓间谍软件,正通过伪装成谷歌相册、TikTok、YouTube 等热门应用及服务,诱骗潜在受害者。
该恶意软件以俄罗斯用户为攻击目标,攻击渠道包括 Telegram 频道和看似正规的恶意网站。它能够窃取短信、通话记录、通知,还能拍摄照片,甚至拨打电话。
移动安全公司 Zimperium 的恶意软件研究人员表示,在过去三个月里,他们已记录到 600 多个该软件样本以及 50 个不同的投放程序。这一数据表明,攻击者正积极采取行动,扩大攻击规模。
新型安卓间谍软件 ClayRat 攻击行动
ClayRat 攻击行动以该恶意软件的命令与控制(C2)服务器命名。该行动用精心设计的钓鱼入口和已注册域名,这些入口和域名与正规服务页面高度相似。
这些网站要么直接提供安卓安装包文件(APK),要么将访客重定向至提供该文件的 Telegram 频道,而受害者对此毫不知情。
为让这些网站显得真实可信,攻击者添加了虚假评论、虚增了下载量,还设计了类似谷歌应用商店的虚假用户界面,并附上如何侧载 APK 文件以及绕过安卓安全警告的分步说明。
Zimperium 指出,部分 ClayRat 恶意软件样本起到投放程序的作用。用户看到的应用界面是虚假的谷歌应用商店更新页面,而加密的有效负载则隐藏在应用的资源文件中。
该恶意软件采用 " 基于会话 " 的安装方式在设备中潜伏,以此绕过安卓 13 及以上版本的系统限制,并降低用户的怀疑。这种基于会话的安装方式降低了用户感知到的风险,提高了用户访问某一网页后,间谍软件成功安装的可能性。
一旦在设备上激活,该恶意软件会将当前设备作为跳板,向受害者的联系人列表发送短信,进而利用这一新 " 宿主 " 感染更多受害者。
ClayRat 间谍软件的功能
在受感染设备上,ClayRat 间谍软件会获取默认短信处理程序权限。这使得它能够读取所有收到的和已存储的短信,在其他应用之前拦截短信,还能修改短信数据库。
该间谍软件会与 C2 服务器建立通信,其最新版本中采用 AES-GCM 加密算法进行通信加密。之后,它会接收 12 种支持的命令中的一种,具体命令如下:
·get_apps_list ——向 C2 服务器发送已安装应用列表
·get_calls ——发送通话记录
·get_camera ——拍摄前置摄像头照片并发送至服务器
·get_sms_list ——窃取短信
·messsms ——向所有联系人群发短信
·send_sms/make_call ——从设备发送短信或拨打电话
·notifications/get_push_notifications ——捕获通知和推送数据
·get_device_info ——收集设备信息
·get_proxy_data ——获取代理 WebSocket 链接,附加设备 ID,并初始化连接对象(将 HTTP/HTTPS 协议转换为 WebSocket 协议,同时安排任务执行)
·retransmishion ——向从 C2 服务器接收到的号码重发短信
一旦获得所需权限,该间谍软件会自动获取联系人信息,并通过程序编写短信,向所有联系人发送,从而实现大规模传播。
目前,Zimperium 已与 Google 共享了完整的 IoC,谷歌 Play Protect 现在能拦截 ClayRat 间谍软件的已知版本和新型变种。但研究人员强调,该攻击行动规模庞大,仅三个月内就记录到了 600 多个相关样本,因此需要继续持谨慎态度应对。
