СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
5 декабря
#ИБ

ClayRat 3.0.8: Android-шпион с захватом экрана и кражей данных

Исследователи zLabs зафиксировали повторное появление вредоносного ПО ClayRat для Android, которое демонстрирует заметную эволюцию возможностей и методов. Впервые обнаруженное в октябре, ПО расширило набор функций и каналов доставки, усилив риск компрометации пользовательских данных и устройств.

«Повторное появление ClayRat, программы‑шпиона для Android, выявленной командой zLabs, знаменует заметную эволюцию ее возможностей и методов.»

Ключевые факты

  • Первое обнаружение: октябрь (исходное выявление командой zLabs).
  • Модель распространения: фишинговые домены — более 25 известных доменов для фишинга, включая мошеннические имитации платформ и приложений (YouTube, автомобильный сканер ELM и др.).
  • Техническая архитектура: использует метод dropper, полезная нагрузка хранится в папке assets в зашифрованном виде и расшифровывается во время выполнения с использованием шифрования AES/CBC с жестко закодированным ключом.
  • Новая версия: 3.0.8 — расширенные возможности работы с уведомлениями, захватом экрана и управлением сервисами.

Технический разбор

ClayRat действует как классический dropper: исполняемый компонент разворачивает зашифрованную полезную нагрузку из assets и расшифровывает её при запуске. Для расшифровки используется алгоритм AES/CBC с жестко заданным ключом, что позволяет вредоносу восстановить функционал на целевом устройстве даже при попытках статического анализа.

После установки злоумышленник добивается у пользователя предоставления специальных привилегий, в частности разрешения на отправку SMS по умолчанию и включения служб специальных возможностей. Эти разрешения критичны для работы модулей перехвата и автоматизации действий на устройстве.

Возможности и набор команд

ClayRat предназначен для широкого спектра вторжений в частную жизнь пользователя. Среди зафиксированных возможностей:

  • Кража SMS‑сообщений и журналов вызовов; возможность получать и отвечать на SMS.
  • Массовая отправка SMS контактам жертвы.
  • Захват фотографий и инициирование телефонных звонков.
  • Документирование действий на экране (скриншоты/запись экрана) — в версии 3.0.8 реализовано через API MediaProjection и команду turbo_screen, с использованием внутреннего ресурса VirtualDisplay для зеркалирования экрана в реальном времени.
  • Поддержка ForegroundService для поддержания активности сервисов даже при отсутствии видимого интерфейса приложения.
  • Использование наложений (overlays), в том числе команда show_block_screen, позволяющая скрыть свои действия или перехватывать ввод PIN‑кода и других конфиденциальных данных.
  • Регистрация нажатий клавиш, фильтрация уведомлений и управление вызовами — комплексный набор для наблюдения и управления устройством.

Распространение и методы доставки

Для распространения злоумышленники используют более 25 фишинговых доменов с имитацией популярных сервисов и приложений, включая YouTube и автомобильное приложение ELM. Маскировка под законные приложения помогает преодолеть бдительность пользователей и механизмы базовой фильтрации.

Методы уклонения и соответствие MITRE ATT&CK

ClayRat демонстрирует продуманные методы уклонения и злоупотребления разрешениями:

  • Маскировка под легитимные приложения для обхода доверия пользователя.
  • Запрос статуса приложения как Default SMS app для получения расширенных привилегий по отправке и получению сообщений.
  • Злоупотребление службами специальных возможностей для мониторинга экрана блокировки, регистрации ввода и похищения учетных данных.
  • Использование техник, описанных в рамочной модели MITRE ATT&CK: от фишинга и доставки до получения учетных данных и записи экрана.

Риски и рекомендации

Эволюция ClayRat подчёркивает его растущую опасность для пользователей Android: сочетание возможностей перехвата SMS, записи экрана, фильтрации уведомлений и управления вызовами создаёт высокий потенциал для кражи учетных данных, финансового мошенничества и слежки.

Рекомендации по уменьшению риска:

  • Не устанавливайте приложения из неизвестных источников и не переходите по подозрительным ссылкам из SMS или мессенджеров.
  • Проверяйте разрешения устанавливаемых приложений; особенно критичны разрешения на SMS и включение Accessibility для неизвестных приложений — запрещайте их при отсутствии очевидной необходимости.
  • Используйте официальные магазины приложений и проверяйте репутацию разработчика и отзывы.
  • Поддерживайте ОС и приложения в актуальном состоянии и используйте мобильные решения безопасности для обнаружения и удаления подобных угроз.

Повторное появление и развитие ClayRat ещё раз подтверждают: киберугрозы адаптируются, и единственная эффективная защита — постоянная бдительность и сочетание технических и поведенческих мер безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: