新型间谍软件 ClayRat 通过虚假 WhatsApp 和 TikTok 应用攻击 Android 用户

一个名为ClayRat的 Android 间谍软件活动正在迅速发展，它利用 Telegram 频道和类似的钓鱼网站攻击俄罗斯用户，通过模仿 WhatsApp、Google Photos、TikTok 和 YouTube 等流行应用程序来诱骗用户安装这些应用程序。

Zimperium 研究员 Vishnu Pratapagiri 在与 The Hacker News分享的一份报告中表示：“一旦启动，该间谍软件就可以窃取短信、通话记录、通知和设备信息；使用前置摄像头拍照；甚至直接从受害者的设备发送短信或拨打电话。”

该恶意软件还通过向受害者电话簿中的每个联系人发送恶意链接来传播自身，这表明攻击者采取了激进的策略，利用受感染的设备作为传播媒介。

这家移动安全公司表示，在过去90天里，它检测到了不少于600个样本和50个植入程序，每次迭代都加入了新的混淆层，以规避检测​​，并保持领先于安全防御。该恶意软件的名称指的是可用于远程管理受感染设备的命令与控制 (C2) 面板。

DFIR 保留服务
攻击链涉及将毫无戒心的访问者重定向到这些虚假网站，再到对手控制的 Telegram 频道，通过人为增加下载次数和分享伪造的推荐来证明其受欢迎程度，从而诱骗他们下载 APK 文件。

在其他情况下，声称提供具有高级功能的“YouTube Plus”的虚假网站被发现托管 APK 文件，这些文件可以绕过Google 强制实施的安全保护措施，以防止在运行 Android 13 及更高版本的设备上侧载应用程序。

该公司表示：“为了绕过平台限制以及新版 Android 系统带来的额外阻力，一些 ClayRat 样本会充当植入程序：可见的应用只是一个轻量级安装程序，会显示一个虚假的 Play Store 更新屏幕，而实际加密的有效负载则隐藏在应用的资源文件中。这种基于会话的安装方法降低了感知风险，并增加了网页访问导致间谍软件安装的可能性。”

安装后，ClayRat 使用标准 HTTP 与其 C2 基础设施进行通信，并要求用户将其设为默认 SMS 应用程序以访问敏感内容和消息传递功能，从而允许其秘密捕获通话记录、短信、通知，并将恶意软件进一步传播给其他每个联系人。

该恶意软件的其他功能包括拨打电话、获取设备信息、使用设备摄像头拍照以及将所有已安装应用程序的列表发送到 C2 服务器。

ClayRat 之所以具有强大的威胁，不仅因为它具有监视功能，还因为它能够自动将受感染的设备转变为分发节点，这使得威胁行为者能够在没有任何人工干预的情况下迅速扩大其影响范围。

CIS 构建套件
卢森堡大学和谢赫安塔迪奥普大学的学者发现，在非洲销售的廉价 Android 智能手机上预装的应用程序具有更高的权限，其中一个供应商提供的软件包会将设备标识符和位置详细信息传输给外部第三方。

该研究检查了从 7 部非洲智能手机收集的 1,544 个 APK，发现“145 个应用程序（9%）泄露了敏感数据，249 个（16%）在没有足够保护措施的情况下暴露了关键组件，许多应用程序还存在额外的风险：226 个执行特权或危险的命令，79 个与短信交互（阅读、发送或删除），33 个执行静默安装操作。”