Дослідники зафіксували цілеспрямовану шпигунську кампанію проти користувачів Android у Росії: шкідливе ПЗ ClayRat маскується під легітимні застосунки на кшталт WhatsApp, Google Photos, TikTok і YouTube, поширюючись через Telegram-канали та фішингові сайти. Після інфікування воно краде SMS, журнали викликів і сповіщення, робить знімки з камери та навіть може ініціювати дзвінки від імені жертви.
Фішингові домени та Telegram: імітація Google Play для доставки APK
Оператори ClayRat реєструють домени, схожі на офіційні ресурси, і розміщують підроблені сторінки з інтерфейсом у стилі Google Play. Такі сайти або напряму хостять APK-файли, або перенаправляють користувачів у Telegram-канали з «оновленнями» чи «повними версіями». Для підвищення довіри використовуються фейкові відгуки, накручені лічильники встановлень і детальні інструкції з ручної інсталяції в обхід стандартних механізмів захисту Android.
Масштаб інфраструктури: сотні зразків і десятки дропперів
За даними Zimperium, лише за три місяці виявлено понад 600 унікальних зразків та приблизно 50 різних дропперів, що свідчить про активну й еволюційну екосистему зловмисників. Частина завантажувачів демонструє фальшивий екран «оновлення Play Store», приховуючи зашифроване корисне навантаження в ресурсах застосунку до моменту встановлення.
Обхід Android 13: сесійна установка проти звичайного sideload
Два способи інсталяції APK і чому це важливо
В Android існують два підходи до інсталяції: звичайний (безсесійний), коли APK передається системному інсталятору напряму, та сесійний, що підтримує встановлення кількох компонентів (split APK) і широко застосовується для пакетів із Google Play. ClayRat зловживає саме сесійним механізмом.
Restricted Setting: що змінює сесійний підхід
Починаючи з Android 13, для чутливих дозволів і служб (зокрема, доступу до сповіщень) діє захист Restricted Setting для застосунків, інстальованих поза магазином. Дослідження ThreatFabric (2023) на прикладі дроппера SecuriDropper показало, що при сесійній інсталяції ці обмеження застосовуються інакше, що дозволяє знизити підозрілість і спростити закріплення шкідника без очевидних попереджень для користувача.
Можливості ClayRat: перехоплення SMS, C2 та шифрування AES‑GCM
Після встановлення ClayRat часто призначає себе обробником SMS за замовчуванням, отримуючи пріоритетний доступ до всіх вхідних повідомлень і можливість їх перехоплення та модифікації. Далі він ексфільтрує контакти й запускає масову розсилку SMS, використовуючи пристрій жертви як плацдарм для подальшого поширення в її колі довіри.
Керування здійснюється через зашифрований канал: у нових версіях трафік захищено алгоритмом AES‑GCM. Інфраструктура C2 може надсилати до 12 команд, забезпечуючи гнучке викрадення даних та дистанційний контроль пристрою (зокрема, доступ до журналів викликів, сповіщень і камери).
Виявлення та реакція екосистеми: індикатори компрометації і Play Protect
Zimperium передала Google повний перелік індикаторів компрометації для виявлення ClayRat. На момент публікації Google Play Protect розпізнає та блокує як відомі, так і нові модифікації. Водночас ризик зберігається для користувачів, які інсталюють застосунки зі сторонніх джерел і слідують інструкціям з неперевірених Telegram-каналів.
Практичні поради: мінімізація ризиків для користувачів і ІБ-команд
Уникайте встановлення APK із повідомлень і сайтів, домени яких навіть мінімально відрізняються від офіційних. Перевіряйте URL і сертифікат сайту перед завантаженням. Тримайте вимкненим дозвіл на інсталяцію з невідомих джерел у щоденному режимі, вмикаючи його лише за реальної потреби.
Звертайте увагу на спроби застосунків призначити себе обробником SMS за замовчуванням чи запитати доступ до сповіщень та служб спеціальних можливостей. Регулярно оновлюйте систему й застосунки, залишайте активним Play Protect і використовуйте перевірені мобільні засоби захисту, здатні аналізувати мережевий трафік і виявляти аномалії.
ClayRat демонструє, як поєднання правдоподібної соціальної інженерії, сесійної інсталяції та агресивного доступу до SMS дозволяє обійти захист і швидко масштабувати атаки. Дотримуйтеся цифрової гігієни, навчайте користувачів розпізнавати фішинг і оперативно реагуйте на нові індикатори компрометації. Якщо натрапили на підозрілий APK або канал розповсюдження, повідомте про нього Google та вашому постачальнику рішень з кібербезпеки.
