Исследователи из компании Zimperium, специализирующейся на мобильной кибербезопасности, зафиксировали масштабную кампанию по распространению шпионского ПО под названием ClayRat, ориентированного на пользователей Android в России. Программа маскируется под известные приложения (WhatsApp, TikTok, Google Photos, YouTube) и распространяется через поддельные сайты и Telegram-каналы, выдающие себя за официальные ресурсы.
Кампания получила название по имени серверов управления (C2), задействованных в операции. Как установили специалисты, за последние три месяца были обнаружены более 600 уникальных образцов вредоносного ПО и 50 дропперов, что свидетельствует о высокой активности разработчиков и масштабируемости угрозы.
ClayRat распространяется через фишинговые страницы, внешне неотличимые от легитимных сервисов. Сайты оформлены в стиле Google Play, содержат поддельные рейтинги, комментарии, счётчики загрузок и пошаговые инструкции по установке APK-файлов. Пользователю предлагается «обновить» приложение, загрузив файл напрямую — при этом система безопасности Android обходится с помощью техники установки, «основанной на сеансе», которая снижает подозрения и позволяет внедрить вредоносный компонент.
Некоторые варианты ClayRat работают как дропперы — на экране отображается поддельный процесс обновления Play Store, а внутри скрывается зашифрованная полезная нагрузка. После установки вредоносный код получает расширенные полномочия и начинает сбор данных.
После активации ClayRat перехватывает SMS, получает доступ к контактам, журналам вызовов, уведомлениям, может делать фотографии, записывать звук, отслеживать геолокацию и даже совершать звонки от имени пользователя. Более того, вредоносное ПО получает статус обработчика SMS по умолчанию, что позволяет ему читать и подменять входящие сообщения до того, как они попадут в другие приложения.
В некоторых случаях заражённые устройства используются для дальнейшего распространения — ClayRat отправляет заражённые ссылки контактам жертвы, используя уже существующие доверенные связи как канал атаки. Это повышает вероятность успешного заражения новых устройств.
Большинство вредоносных APK-файлов распространяются через Telegram-каналы, куда перенаправляют поддельные сайты. Жертвам предлагается скачать якобы официальное приложение напрямую, с якобы обновлённого ресурса. Чтобы обойти ограничения последних версий Android (13+), злоумышленники используют технические уязвимости и обходные сценарии, позволяющие устанавливать вредонос без дополнительных разрешений.
WhatsApp принадлежит запрещённой в РФ и признанной экстремистской компании Meta