Исследователи зафиксировали масштабную шпионскую кампанию против пользователей Android в России: вредонос ClayRat маскируется под легитимные приложения, включая WhatsApp, Google Photos, TikTok и YouTube, и распространяется через Telegram-каналы и фишинговые сайты. Малварь похищает SMS, журналы звонков и уведомления, делает снимки с камеры и даже способна инициировать звонки от имени жертвы.
Маскировка и доставка: фишинговые домены и Telegram-каналы
Операторы ClayRat регистрируют домены, похожие на официальные ресурсы, и размещают на них поддельные страницы с интерфейсом, стилизованным под Google Play. Такие сайты либо напрямую хостят APK-файлы, либо перенаправляют жертв в Telegram-каналы, где предлагают загрузить «обновление» или «полную версию» приложения. Для повышения доверия используются фейковые отзывы, накрученные счетчики установок и пошаговые инструкции по ручной установке APK в обход стандартных механизмов защиты Android.
Масштаб операции: сотни образцов и десятки дропперов
По данным Zimperium, всего за три месяца обнаружено более 600 уникальных образцов и 50 различных дропперов, что указывает на активную и постоянно эволюционирующую инфраструктуру. Часть загрузчиков отображает фальшивый экран «обновления Play Store», скрывая зашифрованную полезную нагрузку в ресурсах приложения до момента установки.
Как обходят Android 13: сессионная установка вместо «sideloading»
Два пути установки APK и почему это важно
В Android предусмотрены два подхода к установке приложений: обычная (без сеанса), когда APK передается системному установщику напрямую, и сессионная, которая позволяет ставить сразу несколько компонентов (split APK) и широко применяется для приложений из Google Play. ClayRat злоупотребляет именно сессионным методом.
Обход Restricted Setting
Начиная с Android 13, для ограниченного круга чувствительных разрешений и служб (например, доступ к уведомлениям) действует защита Restricted Setting для приложений, установленных в обход магазина. Исследования ThreatFabric в 2023 году (на примере дроппера SecuriDropper) показали, что при сессионной установке эти ограничения применяются иначе, что позволяет злоумышленникам снизить порог подозрительности и добиться закрепления без явных тревожных сигналов для пользователя.
Функциональность ClayRat: сбор данных и управление через C2
После установки вредонос нередко назначает себя обработчиком SMS по умолчанию, получая приоритетный доступ ко всем входящим сообщениям и возможности их перехвата и модификации. Далее ClayRat автоматически выгружает контакты и запускает массовую рассылку SMS, используя зараженное устройство как плацдарм для последующего распространения в сети доверия жертвы.
Связь с управляющим сервером осуществляется через зашифрованный канал, в новых версиях трафик защищен алгоритмом AES‑GCM. Управляющая инфраструктура может отправлять до 12 различных команд, что обеспечивает гибкость в краже данных и удаленном управлении устройством.
Реакция экосистемы: индикаторы компрометации и Play Protect
Zimperium передала Google полный список индикаторов компрометации для обнаружения ClayRat. По состоянию на момент публикации Play Protect распознает и блокирует как известные, так и новые варианты вредоноса. Тем не менее, риск сохраняется для пользователей, которые загружают приложения из сторонних источников и следуют инструкциям из непроверенных Telegram-каналов.
Практические меры защиты для пользователей и ИБ-команд
Отказывайтесь от установки APK-файлов из сообщений и на сайтах, домены которых отличаются хотя бы одним символом от официальных. Проверяйте URL и сертификаты сайта перед загрузкой. Отключите разрешение на установку из «Неизвестных источников» для повседневного использования и включайте его только при реальной необходимости.
Следите за попытками приложений назначить себя обработчиком SMS по умолчанию или запросить доступ к уведомлениям и службам специальных возможностей. Регулярно обновляйте устройство и приложения, держите включенным Play Protect и используйте проверенные мобильные средства защиты, способные анализировать сетевой трафик и выявлять аномалии.
ClayRat демонстрирует, как сочетание правдоподобной социальной инженерии, сессионной установки и агрессивного доступа к SMS позволяет обойти защиту и быстро нарастить масштаб атак. Чтобы снизить риски, важно соблюдать цифровую гигиену, обучать пользователей распознаванию фишинга и оперативно реагировать на новые индикаторы компрометации. Если вы столкнулись с подозрительным APK или каналом распространения, сообщите об этом в Google и вашему поставщику ИБ-решений.
