Hızla gelişen bir Android casus yazılım kampanyası olan ClayRat’ın etkinliği, zLabs araştırmacılarının 600’den fazla benzersiz örneği ve 50 farklı damlayı gözlemlemesiyle son üç ay içinde arttı.
Öncelikle Rus kullanıcıları hedef alan kötü amaçlı yazılım, WhatsApp, Google Fotoğraflar, TikTok ve YouTube gibi popüler uygulamalar gibi görünerek kurbanları aldatıcı Telegram kanalları ve kimlik avı web siteleri aracılığıyla kötü amaçlı APK’lar yüklemeye yönlendiriyor.
ClayRat kurulduktan sonra SMS mesajlarını, çağrı kayıtlarını, bildirimleri ve ayrıntılı cihaz bilgilerini sızdırır; ön kamerayla fotoğraf çeker; ve hatta doğrudan kurbanın cihazından SMS mesajları gönderiyor veya çağrılar göndererek her enfeksiyonu güçlü bir gözetim ve dağıtım merkezine dönüştürüyor.
Kampanya, kullanıcı güvenini istismar etmek için sosyal mühendislik ve web tabanlı aldatmacanın karmaşık bir karışımına dayanıyor.
Saldırganlar, ziyaretçileri kötü amaçlı APK’nın barındırıldığı Telegram kanallarına yönlendirmek için sahte GdeDPS açılış sayfası gibi benzer alan adlarını kaydeder.
Bu kanallar, sahte olumlu yorumlar, abartılı indirme sayıları ve sahte kullanıcı referansları dahil olmak üzere aşamalı sosyal kanıtlarla donatılmıştır; bu da şüpheyi azaltır ve kurulum oranlarını artırır.
Bazı durumlarda kurbanlar, Android’in resmi güncelleme ekranlarını taklit eden oturum tarzı bir kurulum akışı aracılığıyla yönlendiriliyor. Basit, adım adım talimatlar, yerleşik güvenlik uyarılarını atlayarak kullanıcılardan bilinmeyen kaynaklardan yüklemeyi etkinleştirmelerini ister.
Kimlik avı siteleri, özellik eklentileri veya güncellemeleri olarak gizlenen casus yazılımları barındıran “YouTube Plus” portalı gibi meşru hizmetleri taklit eder.
Zimperium’un Mobil Tehdit Savunması (MTD) ve Mobil Çalışma Zamanı Koruması (zDefend) çözümleri, imza güncellemeleri yayınlanmadan önce anormal etkinlikleri tanımlamak için cihazdaki davranışsal makine öğrenimi modellerinden yararlanarak ClayRat’ı ilk örneklerinden tespit etti.
Damlalıklar, uygulamanın varlıkları içinden şifrelenmiş bir casus yazılım modülü yüklerken sahte bir Google Play güncelleme arayüzü sunarak gerçek yükü daha da gizler.
Yayılma Teknikleri
ClayRat’ın operatörleri, tespit edilmekten kaçınmak için casus yazılımları sürekli olarak güçlendirir. Her yeni varyant, ek gizleme ve paketleme katmanları içerir; bir varyant, Base64 kodlu yüklere “apezdolskynet” işaretleyici dizisini eklerken, diğer bir varyant, komuta ve kontrol (C2) iletişimleri için AES-GCM şifrelemesinden yararlanır.
Kötü amaçlı yazılım, Android 13’ün daha katı izin modelini atlatmak için varsayılan SMS işleyici rolünü kötüye kullanıyor ve izin başına istemleri tetiklemeden kendisine geniş SMS erişimi sağlıyor.
Bu tek yetkilendirme, ClayRat’ın tüm gelen ve saklanan mesajları okumasına, onay olmadan yeni SMS göndermesine, diğer uygulamalara teslim edilmeden önce SMS etkinliklerine müdahale etmesine ve SMS veritabanlarını değiştirmesine olanak tanır.
Etkinleştirmenin ardından casus yazılım, ön kamera aracılığıyla hemen fotoğraf çeker ve bunları C2 sunucusuna sızdırır. Kapsamlı bir uzaktan komut setini destekler:
get_apps_list: yüklü uygulamaları alır.get_calls: çağrı kayıtlarını sızdırır.get_camera: ön kamera görüntülerini yakalar ve yükler.get_sms_list: SMS mesajlarını toplar.messsms: Tüm kişilere toplu SMS mesajları gönderir.send_sms,make_callve daha fazlası.
Azaltmalar
App Defense Alliance ortağı olarak Zimperium, bulgularını Google ile paylaşarak Google Play Koruma’nın kullanıcıları bilinen ClayRat türevlerine karşı otomatik olarak korumasını sağladı.
Ayrıca, kötü amaçlı yazılımın Android kısıtlamasını aşmak için bir uygulama kılığına girdiği 50’den fazla örnek belirledik.
Kullanıcılara yönelik savunma önlemleri arasında, bilinmeyen kaynaklardan yüklemenin devre dışı bırakılması, uygulamaların dışarıdan yüklemeden önce dikkatlice incelenmesi ve resmi güncellemelerin derhal uygulanması yer alıyor.
Kuruluşlar, varsayılan SMS işleyici atamalarını yalnızca güvenilir uygulamalarla sınırlayan mobil uygulama yönetimi politikalarını uygulamalıdır.
Güvenlik sağlayıcıları ile platform sağlayıcıları arasında sürekli dikkat ve işbirliği, ClayRat’ın hızlı gelişimine karşı koymak ve yaygın uzlaşmayı önlemek için hayati önem taşıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.