Эксперт сообщил: новый Android-шпион ClayRat научился блокировать удаление

В рамках текущих исследований кибербезопасности специалисты компании Zimperium обнародовали данные о возрождении и модернизации Android-трояна ClayRat, который трансформировался из инструмента для кражи личных данных в мощный механизм слежки и контроля. Впервые этот троян был выявлен в октябре 2024 года, где его функционал включал перехват SMS-сообщений и журналов звонков. Согласно аналитическим данным, предоставленным zLabs, обновленная версия трояна значительно расширила свои функциональные возможности, что позволяет классифицировать его как один из наиболее опасных мобильных угроз современности.

Ключевым аспектом модернизации трояна стало его использование функций Android, предназначенных для пользователей с ограниченными возможностями, для несанкционированного доступа к устройству. Новая версия трояна включает клавиатурный шпион, который перехватывает PIN-коды и пароли, а также осуществляет автоматическую разблокировку экрана. Кроме того, троян обладает механизмом самозащиты, который препятствует его удалению, блокируя действия пользователя и маскируясь под системные процессы, что делает его удаление или деактивацию крайне затруднительными.

Для маскировки своей активности троян создает поддельные пользовательские интерфейсы, такие как уведомления о системных обновлениях, что позволяет ему интегрироваться в экосистему устройства без привлечения внимания пользователя. Инфицирование устройств происходит через маскировку под легальные приложения, включая видеоплатформы, мессенджеры, сервисы такси и парковки. В ходе исследования были выявлены более 25 доменных имен, используемых для распространения вредоносных APK-файлов, среди которых фигурировали фальшивые версии приложений "YouTube Pro" и "Car Scanner ELM". Для обхода веб-фильтров злоумышленники активно применяют сервисы типа Dropbox, что позволяет им эффективно распространять вредоносное ПО.

После успешной установки троян получает полный контроль над устройством, используя API MediaProjection для записи экрана и перехвата уведомлений. Это позволяет злоумышленникам не только красть одноразовые пароли, но и вмешиваться в коммуникационные процессы пользователей. Zimperium подчеркивает, что обновленная версия трояна представляет собой значительную угрозу, демонстрируя стремительное развитие мобильных угроз и указывая на недостаточность традиционных мер защиты, основанных на статических методах обнаружения и предотвращения.

Важно отметить, что в России данный троян был впервые обнаружен в октябре текущего года, где он маскировался под популярные приложения, такие как WhatsApp(принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), TikTok, Google Photos и YouTube. На прошлой неделе киберполиция задержала студента Краснодарского кооперативного института, подозреваемого в использовании данного вредоносного ПО. Этот инцидент подчеркивает актуальность проблемы кибербезопасности и необходимость разработки более комплексных и адаптивных методов защиты.