Новый Android-шпион ClayRat атакует пользователей в России через Telegram и поддельные сайты

Как указано в отчете Zimperium, заражение происходит через Telegram-каналы и фишинговые сайты, имитирующие популярные сервисы WhatsApp, Google Photos, TikTok и YouTube.

За три месяца эксперты выявили более 600 образцов и 50 загрузчиков ClayRat. Каждая новая версия использует дополнительные методы маскировки, чтобы обойти системы защиты. После установки шпион получает доступ к SMS, журналам вызовов, уведомлениям и данным устройства, может делать снимки с фронтальной камеры, совершать звонки и рассылать сообщения.

Самое опасное в ClayRat, по данным Zimperium, то, что он притворяется стандартным приложением для SMS. Получив такие права, вирус может читать и отправлять сообщения от имени пользователя так, что на экране пользователя не появляется никаких предупреждений, и владелец телефона не замечает ничего подозрительного. Вредонос автоматически рассылает ссылки на зараженные приложения всем контактам жертвы, превращая смартфон в источник дальнейшего заражения.

Продолжение ниже

Zimperium передала данные об угрозе Google, и защита Play Protect блокирует известные версии ClayRat. Исследователи предупреждают, что кампания развивается стремительно и может распространиться за пределы России.

В качестве защиты исследователи предлагают скачивать приложения только из официальных источников; не устанавливать APK-файлы вручную; ограничить права приложений, особенно запрос на «доступ к SMS» и «замена стандартного приложения для сообщений»; использовать многоуровневую защиту мобильных устройств — антивирус, контроль установки, анализ сетевой активности.