Uma nova e perigosa estirpe de spyware para Android, batizada de ClayRat, está a enganar utilizadores fazendo-se passar por aplicações populares como o WhatsApp, Google Photos, TikTok e YouTube. A campanha maliciosa está a visar utilizadores russos através de canais de Telegram e sites fraudulentos que imitam páginas legítimas com um grau de sofisticação alarmante.
A descoberta foi feita pelos investigadores da empresa de segurança móvel Zimperium, que documentaram mais de 600 amostras de malware e 50 aplicações "dropper" distintas nos últimos três meses, indicando uma operação ativa e em expansão. Uma vez instalado, o ClayRat é capaz de roubar mensagens SMS, registos de chamadas, notificações, tirar fotografias com a câmara do telemóvel e até realizar chamadas sem o consentimento da vítima.
Um esquema de propagação bem montado
A campanha ClayRat, nomeada devido ao seu servidor de comando e controlo (C2), utiliza portais de phishing e domínios registados que se assemelham muito a páginas de serviços conhecidos. Estes sites encaminham as vítimas para canais de Telegram onde as aplicações maliciosas (ficheiros APK) são disponibilizadas para download.
Para aumentar a credibilidade e enganar os utilizadores, os atacantes adicionaram secções de comentários falsos, contadores de downloads inflacionados e até criaram uma experiência de utilização que imita a Play Store, com instruções passo-a-passo sobre como instalar apps de fontes externas e contornar os avisos de segurança do Android.
Segundo os especialistas, algumas amostras do ClayRat funcionam como "droppers", onde a aplicação visível para o utilizador é um falso ecrã de atualização da Play Store, enquanto o verdadeiro malware está escondido e encriptado nos recursos da app. O software malicioso utiliza um método de instalação "baseado em sessão" para contornar as restrições do Android 13 e versões mais recentes, diminuindo a suspeita do utilizador.
As capacidades de espionagem do ClayRat
Quando ativo no dispositivo, o ClayRat consegue autodefinir-se como a aplicação padrão para a gestão de SMS. Isto permite-lhe ler todas as mensagens recebidas e armazenadas, intercetá-las antes de qualquer outra app e até modificar a base de dados de mensagens do telemóvel.
A comunicação com o servidor de comando e controlo é cifrada com AES-GCM nas versões mais recentes. A partir daí, o spyware pode receber 12 comandos diferentes, que incluem obter a lista de apps instaladas, roubar registos de chamadas, tirar fotos com a câmara frontal, enviar SMS em massa para toda a lista de contactos e capturar notificações.
Uma das funcionalidades mais perigosas é a sua capacidade de se propagar automaticamente. Ao obter as permissões necessárias, o spyware recolhe a lista de contactos e começa a enviar mensagens SMS para todos os números, tentando infetar novos dispositivos em grande escala.
Como resposta a esta ameaça, a Zimperium, enquanto membro da App Defense Alliance, partilhou todos os indicadores de compromisso com a Google. Como resultado, o Play Protect já está a bloquear as variantes conhecidas e novas do spyware ClayRat, protegendo os utilizadores que mantêm esta camada de segurança ativa.
Nenhum comentário
Seja o primeiro!