Följ oss här

Säkerhet

Android-spionprogrammet ClayRat lurar användare med falska appar – utger sig för att vara WhatsApp och TikTok

Ett nytt spionprogram för Android, kallat ClayRat, sprids just nu via falska versioner av populära appar som WhatsApp, TikTok, YouTube och Google Photos. Målet: att stjäla allt från sms och samtalsloggar till bilder och notifieringar – och till och med ringa samtal i bakgrunden.

Publicerad

2 timmar sedan

d.

Hacker

Shutterstock

Enligt säkerhetsföretaget Zimperium sprids ClayRat främst bland ryska användare via Telegram-kanaler och fejkade webbplatser som ser helt legitima ut.

Fejkade appar och falska Play Store-sidor

Zimperium har upptäckt över 600 olika varianter av ClayRat och mer än 50 separata så kallade droppers – små applikationer som installerar själva spionprogrammet – bara under de senaste tre månaderna. Det tyder på en mycket aktiv kampanj.

ClayRat har fått sitt namn från den server (C2) som används för att styra programmet på distans. Bakom kampanjen finns välgjorda bluff-sidor som efterliknar riktiga tjänster, inklusive sajter som leder vidare till Telegram-kanaler där användarna lockas att ladda ner APK-filer.

För att verka trovärdiga har angriparna lagt till fejkade kommentarer, manipulerade nedladdningssiffror och ett användargränssnitt som liknar Google Play – komplett med steg-för-steg-instruktioner om hur man kringgår Androids säkerhetsvarningar och installerar appen manuellt, det varnar Bleepingcomputer för. 

Läs också: Nvidia passerade 4 000 miljarder dollar

Så tar sig ClayRat in i mobilen

ClayRat använder en så kallad ”sessionbaserad” installation, vilket gör det möjligt att kringgå de säkerhetsbegränsningar som infördes i Android 13 och senare versioner. Den metoden får installationen att verka legitim och minskar risken för att användaren reagerar.

”Den här tekniken får installationen att se ofarlig ut, vilket ökar chansen att användaren omedvetet installerar spionprogrammet”, skriver forskarna på Zimperium.

När ClayRat väl har installerats kan det sprida sig vidare genom att automatiskt skicka sms till alla kontakter i offrets adressbok.

Kraftfulla spionfunktioner

När ClayRat får de nödvändiga rättigheterna på enheten tar det över rollen som standardhanterare för sms. Det betyder att det kan läsa, ändra och skicka meddelanden – utan att användaren märker något.

Läs också: Apple vill köpa F1-rättigheterna

Programmet kommunicerar med sin kontrollserver via krypterade kanaler (AES-GCM) och kan utföra minst tolv olika kommandon, bland annat:

  • Skicka listor över installerade appar
  • Skicka samtalsloggar och sms
  • Ta bilder med mobilens kamera
  • Samla in notifieringar och enhetsinformation
  • Skicka mass-sms till alla kontakter
  • Göra samtal direkt från enheten

Med dessa funktioner kan ClayRat snabbt sprida sig mellan användare, stjäla privat information och övervaka allt som sker på mobilen.

Google har blockerat kända varianter

Zimperium, som är medlem i App Defense Alliance, har delat hela listan med kända infekterade filer (IoCs) med Google. Tack vare det blockeras nu både kända och nya ClayRat-varianter av Google Play Protect.

Trots det varnar forskarna för att kampanjen är massiv och fortfarande pågår. Över 600 olika versioner har upptäckts på bara tre månader – vilket visar att angriparna satsar hårt på att hålla sig steget före säkerhetsåtgärderna.

Läs också: Samsung fortsätter med galna priser

Läs också: Håll inne knappen – då avslöjar WhatsApp en dold funktion du inte visste fanns

Liknande artiklar:

Jag är skribent på Media Group Denmark och skriver för de svenska plattformarna Dagens.se och Teksajten.se. Under det senaste året på MGDK har jag fokuserat på nyheter, teknik och samhälle, med ett tydligt mål att göra komplexa ämnen begripliga för alla. Jag har varit aktiv online sedan 1995 och är fortfarande fascinerad av den ständigt föränderliga digitala världen – från ny teknik och politik till samhällsförändringar och nya sätt att berätta historier – Muck Rack

Annons