Um novo spyware para Android, chamado ClayRat, está atraindo vítimas ao se disfarçar de aplicativos e serviços populares, como WhatsApp, Google Photos, TikTok e YouTube.
O malware tem como alvo usuários russos, utilizando canais no Telegram e sites maliciosos que se passam por páginas legítimas.
Ele é capaz de roubar mensagens SMS, registros de chamadas, capturar notificações, tirar fotos e até realizar ligações.
Pesquisadores de malware da empresa de segurança móvel Zimperium identificaram mais de 600 amostras e 50 droppers distintos nos últimos três meses, evidenciando uma campanha ativa para ampliar a operação maliciosa.
Batizada pelo nome do servidor de comando e controle (C2) do malware, a campanha ClayRat utiliza portais de phishing muito bem elaborados e domínios registrados que imitam páginas oficiais de serviços legítimos.
Esses sites hospedam ou redirecionam os visitantes para canais no Telegram, onde arquivos APK são disponibilizados para download por vítimas desavisadas.
Para conferir mais credibilidade aos sites, os criminosos adicionaram comentários falsos, contadores de downloads inflados e até uma interface similar à da Google Play Store, com instruções passo a passo para realizar o sideload dos APKs e burlar os alertas de segurança do Android.
Segundo a Zimperium, algumas amostras do ClayRat funcionam como droppers: a tela exibida ao usuário simula uma atualização do Play Store, enquanto o payload criptografado fica oculto nos assets do app.
O malware se instala usando um método “baseado em sessão” que contorna as restrições do Android 13 ou superior, reduzindo a suspeita do usuário.
“Esse método baseado em sessão diminui a percepção de risco e aumenta as chances de que a visita a uma página maliciosa resulte na instalação do spyware”, explicam os especialistas.
Após ativar-se no dispositivo, o spyware usa o aparelho infectado como base para se propagar, enviando SMS em massa para os contatos da vítima.
O ClayRat assume o papel de handler padrão de SMS nos dispositivos comprometidos, o que permite ler todas as mensagens recebidas e armazenadas, interceptá-las antes de outros aplicativos e modificar o banco de dados de SMS.
Ele se comunica com o servidor C2 utilizando criptografia AES-GCM nas versões mais recentes e suporta uma lista de 12 comandos, entre eles:
- get_apps_list: envia ao C2 a lista de apps instalados
- get_calls: transmite os registros de chamadas
- get_camera: tira foto com a câmera frontal e envia ao servidor
- get_sms_list: exfiltra mensagens SMS
- messsms: envia SMS em massa para todos os contatos
- send_sms / make_call: envia SMS ou realiza chamadas usando o dispositivo
- notifications / get_push_notifications: captura notificações e dados push
- get_device_info: coleta informações do dispositivo
- get_proxy_data: obtém URL proxy via WebSocket e inicia conexões
- retransmishion: reenvia SMS para número indicado pelo C2
Quando recebe as permissões necessárias, o spyware coleta automaticamente os contatos e cria, de forma programada, mensagens SMS para propagação em larga escala.
Como membro da App Defense Alliance, a Zimperium compartilhou os Indicadores de Comprometimento (IoCs) com o Google.
O Play Protect agora bloqueia as variantes conhecidas e novas do ClayRat.
Apesar disso, os pesquisadores alertam que a campanha é massiva, com mais de 600 amostras catalogadas em apenas três meses, reforçando a importância do alerta para usuários e profissionais de segurança.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...