ClayRat возвращается: Android-шпион стал блокировать удаление
Исследователи Zimperium сообщили, что Android-троян ClayRat вернулся и получил куда более продвинутые функции. Если ранее это был простой инфостилер, то теперь он превратился в инструмент слежки, который не только собирает данные, но и препятствует попыткам удалить его с устройства. Впервые ClayRat обнаружили в октябре 2024 года: тогда он крал СМС и журналы звонков — неприятно, но ожидаемо. Сейчас же, по данным zLabs, его возможности заметно расширились.
Главным изменением стало использование сервисов специальных возможностей Android. Обычно они помогают людям с ограниченными возможностями, но злоумышленники применяют их для полного доступа к интерфейсу устройства. Благодаря этому ClayRat получил кейлоггер, научился считывать ПИН-коды и пароли, а также автоматически снимать блокировку экрана.
Опаснее всего то, что троян стал защищать себя от удаления. Если владелец смартфона пытается стереть приложение, ClayRat блокирует нажатия, подменяя их имитациями системных «тапов» и мешая отключить устройство или удалить вредонос. Одновременно он накладывает фальшивые оверлеи, например окно «обновления системы», скрывая реальные действия на экране.
Для распространения ClayRat маскируется под популярные сервисы — видеоплатформы, мессенджеры, региональные приложения вроде такси или парковки. Исследователи нашли более 25 доменов-приманок, среди которых поддельные «YouTube Pro» и диагностическое приложение «Car Scanner ELM». Дополнительно используется Dropbox для распространения APK-файлов и обхода блокировок.
После установки троян получает расширенный контроль над устройством: записывает экран через MediaProjection API, перехватывает ответы на уведомления и подменяет их, что позволяет красть одноразовые коды и вмешиваться в переписки. По словам Zimperium, обновлённый ClayRat стал заметно опаснее прежней версии и показывает, как быстро развиваются мобильные угрозы и почему привычных мер защиты уже недостаточно.
В России ClayRat обнаруживали ещё в октябре: тогда он выдавал себя за WhatsApp (принадлежит Meta, признана экстремистской и запрещена в России), TikTok, Google Photos и YouTube.
Источник: Anti-Malware.ru
Рекомендуем также:
