Телефонный вирус ClayRat атакует россиян: он обходит защиту, звонит и включает камеру
Превращает смартфон в шпиона: почему телефонный вирус ClayRat так опасен?
АКАлександр КуманевВ России распространяется новый вирус ClayRat, нацеленный на владельцев Android-смартфонов. Он собирает данные, умеет активировать камеру, звонить, перехватывать СМС и сам себя распространяет. Эксперты бьют тревогу: вредонос получил инструменты для обхода антивируса и защиты Android.
Первыми о развитии шпионской кампании ClayRat в России сообщили эксперты по кибербезопасности компании Zimperium. Вредоносное ПО нацелено на владельцев Android-смартфонов.
Это больше, чем просто инструмент для слежки. ClayRat читает переписки и уведомления, историю звонков, системные данные. Он может скрытно активировать камеру и делать снимки, а среди его возможностей присутствуют звонки, отправка, чтение и перехват сообщений. Собранные сведения пересылаются на сервер киберпреступников. По данным экспертов, злоумышленники могут запускать более 12 задач на зараженном телефоне.
Пользователь может не догадываться о шпионе в кармане, а цель вредоноса — создание полноценной сети.
Как распространяется ClayRat
Еще одна особенность вируса — самораспространение. Для этого он рассылает контактам из адресной книги зараженные ссылки — каждый телефон становится точкой дальнейшей атаки.
«Подхватить» вирус можно на фишинговых сайтах и фейковых тг-каналах. Эксперты по кибербезопасности отмечают серьезную инфраструктуру. Используются как типичные сайты-клоны, так и ресурсы, где пользователям якобы предлагают премиум-аккаунты сервисов. Например, получить YouTube Plus бесплатно (достаточно скачать приложение).
В другом случае они предлагают скачать приложение для водителей, которое якобы отображает на карте места, где стоят сотрудники ДПС. Подобных примеров предостаточно. Уже сейчас вирус маскируется под WhatsApp*, Google Photos, TikTok, YouTube и другие популярные сервисы.
Злоумышленники создают Telegram-каналы от имени реальных организаций. В одном из случаев они пишут от лица московской гостиницы, предлагая взглянуть на фото номеров перед заселением, но вместо архива с изображениями пользователь скачивает вирус в виде установочного APK-файла.
Во всех случаях предложение выглядит очень похожим на реальное. Есть отзывы, удобные инструкции по скачиванию и установке — создается видимость реальной работы.
В Zimperium подчеркнули, что такой подход делает инфраструктуру более стабильной, затрудняя срыв кампании по распространению вредоноса. Подход злоумышленников говорит о способности расширять инфраструктуру атак.
Шпионит и прячется от антивирусов
Злоумышленники не сидят без дела пока их детище захватывает смартфоны россиян. Только за три месяца обнаружено более 600 образцов ClayRat, каждый из которых становится все более опасным, получая больше механизмов для сокрытия следов и обхода антивирусов.
Для обхода внутренней защиты Android используются не менее 50 дропперов — упрощенных загрузчиков, которые маскируются под обновления популярных приложений. Они скачивают и устанавливают вирус на телефон, часто незаметно для владельца. Например, под видом очередного обновления через Google Play. Сам вредоносный код зашифрован в файлах приложения, что делает невозможным его обнаружение антивирусом.
Как не стать жертвой ClayRat?
Эксперты небезосновательно называют шпионское ПО ClayRat одной из самых серьезных угроз безопасности за последнее время. Вредонос ориентирован на пользователей, плохо разбирающихся в современных технологиях. Важно отметить, что вирус запрашивает разрешения у пользователя по аналогии с обычными приложениями.
О проблеме говорят российские СМИ, УБК МВД России (киберполиция) и профильные ресурсы.
«Чтобы обезопасить себя, скачивайте приложения только из проверенных источников», — советуют в пресс-службе киберполиции.
Владельцам смартфонов рекомендуется смотреть, какие разрешения они предоставляют установленным приложениям, а также обращать внимание на расширения скачиваемых файлов. Беспечность и низкая киберграмотность могут обойтись очень дорого.
* — принадлежит Meta Platforms Inc., признанной экстремистской и запрещенной в РФ.
