Hızla gelişen bir Android casus yazılım kampanyası ClayRat Rusya’daki kullanıcıları, Telegram kanallarını ve benzer kimlik avı web sitelerini kullanarak, WhatsApp, Google Fotoğraflar, TikTok ve YouTube gibi popüler uygulamaları yüklemeye teşvik ederek taklit ederek hedefledi.
Zimperium araştırmacısı Vishnu Pratapagiri, The Hacker News ile paylaşılan bir raporda, “Aktif hale geldiğinde casus yazılım SMS mesajlarını, arama kayıtlarını, bildirimleri ve cihaz bilgilerini sızdırabilir; ön kamerayla fotoğraf çekebilir ve hatta doğrudan kurbanın cihazından SMS mesajları gönderebilir veya arama yapabilir.” dedi.
Kötü amaçlı yazılım aynı zamanda kurbanın telefon rehberindeki her kişiye kötü amaçlı bağlantılar göndererek kendini yaymak üzere tasarlanmıştır; bu, saldırganların ele geçirilen cihazları bir dağıtım vektörü olarak kullanmak için agresif taktikler kullandığını gösterir.
Mobil güvenlik şirketi, son 90 gün içinde en az 600 örnek ve 50 düşürücü tespit ettiğini, birbirini izleyen her yinelemenin, tespit çabalarını atlatmak ve güvenlik savunmalarının önünde kalmak için yeni şaşırtma katmanları içerdiğini söyledi. Kötü amaçlı yazılımın adı, virüslü cihazları uzaktan yönetmek için kullanılabilen komut ve kontrol (C2) paneline bir referanstır.
Saldırı zinciri, şüphelenmeyen ziyaretçilerin bu sahte sitelere, düşmanın kontrolü altındaki Telegram kanallarına yönlendirilmesini, buradan da indirme sayılarını yapay olarak şişirerek ve popülerliklerinin kanıtı olarak üretilmiş referansları paylaşarak APK dosyalarını indirmeleri için kandırılmalarını içeriyor.
Diğer durumlarda, premium özelliklere sahip “YouTube Plus” sunduğunu iddia eden sahte web sitelerinin, Android 13 ve sonraki sürümleri çalıştıran cihazlara uygulamaların dışarıdan yüklenmesini önlemek için Google tarafından uygulanan güvenlik korumalarını atlayabilen APK dosyalarını barındırdığı tespit edildi.
Şirket, “Platform kısıtlamalarını ve daha yeni Android sürümlerinde ortaya çıkan ek sürtünmeyi aşmak için, bazı ClayRat örnekleri damlalık görevi görüyor: görünür uygulama yalnızca sahte bir Play Store güncelleme ekranı görüntüleyen hafif bir yükleyicidir, gerçek şifreli yük ise uygulamanın varlıkları içinde gizlenir.” dedi. “Bu oturum tabanlı yükleme yöntemi, algılanan riski azaltır ve bir web sayfası ziyaretinin casus yazılım yüklenmesiyle sonuçlanma olasılığını artırır.”
Kurulduktan sonra ClayRat, C2 altyapısıyla iletişim kurmak için standart HTTP kullanıyor ve kullanıcılardan hassas içerik ve mesajlaşma işlevlerine erişim elde etmek için onu varsayılan SMS uygulaması haline getirmelerini talep ediyor, böylece arama kayıtlarını, metin mesajlarını, bildirimleri gizlice yakalamasına ve kötü amaçlı yazılımı diğer tüm kişilere yaymasına olanak tanıyor.
Kötü amaçlı yazılımın diğer özelliklerinden bazıları arasında telefon görüşmeleri yapmak, cihaz bilgilerini almak, cihazın kamerasını kullanarak fotoğraf çekmek ve yüklü tüm uygulamaların bir listesini C2 sunucusuna göndermek yer alıyor.
ClayRat, yalnızca gözetim yetenekleri nedeniyle değil, aynı zamanda virüslü bir cihazı otomatik bir şekilde bir dağıtım düğümüne dönüştürme yeteneği nedeniyle de güçlü bir tehdittir; bu, tehdit aktörlerinin herhangi bir manuel müdahale olmadan erişim alanlarını hızla genişletmesine olanak tanır.
Bu gelişme, Lüksemburg Üniversitesi ve Cheikh Anta Diop Üniversitesi’nden akademisyenlerin, Afrika’da satılan uygun fiyatlı Android akıllı telefonlardaki önceden yüklenmiş uygulamaların, satıcı tarafından sağlanan bir paketin cihaz tanımlayıcılarını ve konum ayrıntılarını harici bir üçüncü tarafa ileterek yüksek ayrıcalıklarla çalıştığını keşfetmesiyle ortaya çıktı.
Çalışma, yedi Afrika akıllı telefonundan toplanan 1.544 APK’yı inceleyerek “145 uygulamanın (%9) hassas verileri açığa çıkardığını, 249’unun (%16) kritik bileşenleri yeterli koruma olmadan açığa çıkardığını ve çoğunun ek riskler sunduğunu ortaya çıkardı: 226’sı ayrıcalıklı veya tehlikeli komutları yürütür, 79’u SMS mesajlarıyla etkileşime girer (okuma, gönderme veya silme) ve 33’ü sessiz kurulum işlemleri gerçekleştirir.”