New Android spyware ClayRat imitates WhatsApp, TikTok, YouTube

ClayRatと呼ばれる新しいAndroidスパイウェアが、WhatsApp、Google Photos、TikTok、YouTubeなどの人気アプリやサービスを装って潜在的な被害者を誘い込んでいる。

このマルウェアは、合法的に見えるTelegramチャンネルや悪意のあるウェブサイトを通じて、ロシアのユーザーを標的にしている。このマルウェアは、SMSメッセージ、通話ログ、通知、写真撮影、さらには電話をかけることさえできる。

モバイル・セキュリティ企業Zimperiumのマルウェア研究者によると、過去3ヶ月間に600以上のサンプルと50以上の異なるドロッパーを記録しており、この活動を拡大するための攻撃者の積極的な努力を示している。

ClayRatキャンペーン

マルウェアのコマンド・アンド・コントロール(C2)サーバーにちなんで名付けられたClayRatキャンペーンは、入念に細工されたフィッシング・ポータルと、正規のサービス・ページを忠実に模倣した登録ドメインを使用する。

これらのサイトは、訪問者をTelegramチャンネルにホスティングまたはリダイレクトし、そこでAndroidパッケージファイル(APK)を疑うことを知らない被害者に提供します。

これらのサイトに正当性を持たせるために、脅威の実行者は偽のコメントを追加し、ダウンロード数を水増しし、APKをサイドロードし、Androidのセキュリティ警告を回避する方法をステップバイステップで説明する偽のPlayストアのようなUXを使用しています。

Fake update loading the spyware in the background
スパイウェアをバックグラウンドでロードする偽のアップデート
Source:Zimperium

Zimperiumによると、一部のClayRatマルウェアのサンプルはドロッパーとして動作し、ユーザーが目にするアプリは偽のPlayストアのアップデート画面であり、暗号化されたペイロードがアプリのアセットに隠されています。

このマルウェアは、Android 13+の制限を迂回し、ユーザーの疑念を減らすために、「セッションベース」のインストール方法を使用してデバイスに巣を作ります。

「このセッションベースのインストール方法は、知覚されるリスクを低下させ、ウェブページの訪問によってスパイウェアがインストールされる可能性を高めます」と研究者は述べています。

いったんデバイス上でアクティブになると、マルウェアは新しいホストを踏み台にして、被害者の連絡先リストにSMSを送信することで、より多くの被害者に伝播することができる。

Telegram channel spreading the droppers
ClayRatドロッパーを拡散するテレグラム・チャンネル
ソースはこちら:Zimperium

スパイウェアの機能

ClayRatスパイウェアは、感染したデバイス上でデフォルトのSMSハンドラーの役割を担い、すべての受信SMSと保存SMSを読み、他のアプリよりも先に傍受し、SMSデータベースを変更することを可能にします。

ClayRat becoming the default SMS handler
デフォルトの SMS ハンドラーになる ClayRat
ソースはこちら:Zimperium

スパイウェアは、最新バージョンではAES-GCMで暗号化されたC2との通信を確立し、サポートされている12のコマンドのいずれかを受信する:

  • get_apps_list – インストールされているアプリのリストをC2に送信する。
  • get_calls – 通話ログを送信します。
  • get_camera – フロントカメラで写真を撮影し、サーバーに送信する。
  • get_sms_list – SMSメッセージを取得する。
  • messsms – すべての連絡先に大量のSMSを送信する
  • send_sms / make_call – デバイスから SMS を送信したり電話をかけたりする
  • notifications / get_push_notifications – 通知とプッシュデータを取得する
  • get_device_info – デバイス情報を収集する
  • get_proxy_data – プロキシWebSocket URLを取得し、デバイスIDを追加し、接続オブジェクトを初期化する(HTTP/HTTPSをWebSocketに変換し、タスクをスケジュールする)。
  • retransmishion – C2から受信した番号にSMSを再送する。

必要なパーミッションが付与されると、スパイウェアは自動的に連絡先を収集し、プログラムによってSMSメッセージを作成し、すべての連絡先に一斉送信します。

App Defense Allianceのメンバーとして、Zimperiumは完全なIoCをGoogleと共有し、Play Protectは現在、ClayRatスパイウェアの既知および新しい亜種をブロックしている。

しかし、研究者は、このキャンペーンは大規模であり、3ヶ月間で600以上のサンプルが記録されていることを強調している。

.ia_ad { background-color:#width: 95%; max-width: 800px; margin: 15px auto; border-radius: 8px; border:1px solid #d6ddee; display: flex; align-items: stretch; padding: 0; overflow: hidden; }:0; overflow: hidden; } .ia_lef { flex: 1; max-width: 200px; height: auto; display: flex; align-items: stretch; } .ia_lef a { display: flex; width: 100%; height: 100%; } .ia_lef a img { width: 100%; height: 100%; object-fit: cover; border-radius: 8px 0 0 8px; margin: 0; display: block; } .ia_rig { flex: 2; padding:display: flex; flex-direction: column; justify-content: center; } .ia_rig h2 { font-size: 17px !important; font-weight: 700; color:#line-height: 1.4; font-family:margin: 0 0 14px 0; } .ia_rig p { font-weight: bold; font-size: 14px; margin: 0 0 clamp(6px, 2vw, 14px) 0; } .ia_button { background-color:#border:1px solid #3b59aa; color: black; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; cursor: pointer; padding:width: fit-content; } .ia_button a { text-decoration: none; color: inherit; display: block; } @media (max-width: 600px) { .ia_ad { flex-direction: column; align-items: center; } .ia_lef { max-width: 100%; } .ia_lef a img { border-radius: 8px 8px 0 0; } .ia_rig { padding:15px;
width: 100%;
}

.ia_button {
width: 100%;
margin: 0px auto;
}
}


Picus BAS Summit

今年のセキュリティ検証イベントPicus BASサミット

Breach and Attack Simulation Summitに参加して、セキュリティ検証の未来を体験してください。一流の専門家から話を聞き、AIを搭載したBASが侵害と攻撃のシミュレーションをどのように変革するかをご覧ください。

セキュリティ戦略の未来を形作るイベントをお見逃しなく。