Phần mềm gián điệp ClayRat nhắm vào Android thông qua WhatsApp và TikTok giả mạo

[Starlink]

Một chiến dịch phần mềm gián điệp Android đang phát triển nhanh chóng có tên ClayRat đã nhắm mục tiêu vào người dùng ở Nga bằng cách sử dụng kết hợp các kênh Telegram và các trang web lừa đảo tương tự bằng cách mạo danh các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube để dụ họ cài đặt chúng.

Nhà nghiên cứu Vishnu Pratapagiri của Zimperium cho biết trong một báo cáo chia sẻ với The Hacker News: "Khi hoạt động, phần mềm gián điệp có thể đánh cắp tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin thiết bị; chụp ảnh bằng camera trước; và thậm chí gửi tin nhắn SMS hoặc thực hiện cuộc gọi trực tiếp từ thiết bị của nạn nhân".

Phần mềm độc hại này cũng được thiết kế để tự phát tán bằng cách gửi các liên kết độc hại đến mọi địa chỉ liên lạc trong danh bạ điện thoại của nạn nhân, cho thấy chiến thuật hung hăng của kẻ tấn công nhằm lợi dụng các thiết bị bị xâm phạm làm phương tiện phát tán.

Công ty bảo mật di động cho biết họ đã phát hiện không dưới 600 mẫu và 50 dropper trong 90 ngày qua, với mỗi lần lặp lại đều kết hợp các lớp che giấu mới để tránh các nỗ lực phát hiện và đi trước các biện pháp phòng thủ an ninh. Tên phần mềm độc hại này ám chỉ đến bảng điều khiển chỉ huy và kiểm soát (C2), có thể được sử dụng để quản lý các thiết bị bị nhiễm từ xa.

Chuỗi tấn công bao gồm việc chuyển hướng những người truy cập không nghi ngờ đến các trang web giả mạo này đến các kênh Telegram do kẻ tấn công kiểm soát, từ đó họ bị lừa tải xuống các tệp APK bằng cách tăng số lượt tải xuống một cách giả tạo và chia sẻ các lời chứng thực giả mạo như bằng chứng về mức độ phổ biến của chúng.

Trong những trường hợp khác, các trang web giả mạo tuyên bố cung cấp "YouTube Plus" với các tính năng cao cấp đã bị phát hiện lưu trữ các tệp APK có thể vượt qua các biện pháp bảo vệ an ninh do Google áp dụng để ngăn chặn việc tải ứng dụng trên các thiết bị chạy Android 13 trở lên.

"Để vượt qua các hạn chế nền tảng và những rào cản bổ sung trong các phiên bản Android mới hơn, một số mẫu ClayRat hoạt động như trình thả mã độc: ứng dụng hiển thị chỉ là một trình cài đặt nhẹ hiển thị màn hình cập nhật Play Store giả, trong khi nội dung mã hóa thực sự được ẩn trong các thành phần của ứng dụng", công ty cho biết. "Phương pháp cài đặt dựa trên phiên này làm giảm rủi ro nhận thức và tăng khả năng cài đặt phần mềm gián điệp khi truy cập trang web."

Sau khi được cài đặt, ClayRat sử dụng HTTP chuẩn để giao tiếp với cơ sở hạ tầng C2 và yêu cầu người dùng đặt ứng dụng này làm ứng dụng SMS mặc định để truy cập vào nội dung nhạy cảm và chức năng nhắn tin, do đó cho phép nó bí mật ghi lại nhật ký cuộc gọi, tin nhắn văn bản, thông báo và phát tán phần mềm độc hại đến mọi liên hệ khác.

Một số tính năng khác của phần mềm độc hại bao gồm thực hiện cuộc gọi điện thoại, lấy thông tin thiết bị, chụp ảnh bằng camera của thiết bị và gửi danh sách tất cả các ứng dụng đã cài đặt đến máy chủ C2.

ClayRat là mối đe dọa tiềm tàng không chỉ vì khả năng giám sát mà còn vì khả năng biến thiết bị bị nhiễm thành một nút phân phối theo cách tự động, cho phép kẻ tấn công mở rộng phạm vi hoạt động nhanh chóng mà không cần bất kỳ sự can thiệp thủ công nào.

Sự phát triển này diễn ra khi các học giả từ Đại học Luxembourg và Đại học Cheikh Anta Diop phát hiện ra rằng các ứng dụng được cài đặt sẵn trên điện thoại thông minh Android giá rẻ được bán ở Châu Phi hoạt động với các đặc quyền cao hơn, với một gói do nhà cung cấp cung cấp truyền mã định danh thiết bị và thông tin chi tiết về vị trí cho bên thứ ba bên ngoài.

Nghiên cứu đã kiểm tra 1.544 APK được thu thập từ bảy điện thoại thông minh ở Châu Phi và phát hiện ra rằng "145 ứng dụng (9%) tiết lộ dữ liệu nhạy cảm, 249 ứng dụng (16%) tiết lộ các thành phần quan trọng mà không có biện pháp bảo vệ đầy đủ và nhiều ứng dụng còn tiềm ẩn thêm rủi ro: 226 ứng dụng thực thi các lệnh đặc quyền hoặc nguy hiểm, 79 ứng dụng tương tác với tin nhắn SMS (đọc, gửi hoặc xóa) và 33 ứng dụng thực hiện các thao tác cài đặt âm thầm."