Un nuovo spyware per Android, ClayRat, รจ stato individuato dai ricercatori di sicurezza di Zimperium. Il malware si diffonde “mascherandosi” da un’applicazione nota, come per esempio WhatsApp, Google Foto, TikTok e YouTube, con l’obiettivo di colpire gli utenti attraverso canali Telegram e siti web malevoli che imitano quelli originali.
Tecniche di diffusione di ClayRat
ClayRat รจ in grado di rubare messaggi SMS, registri delle chiamate, notifiche, fotografie e persino di effettuare chiamate ad insaputa della vittima. Negli ultimi tre mesi sono stati individuati oltre 600 campioni di malware e 50 dropper differenti. Si tratta quindi di una campagna attiva e in piena espansione.
Esso sfrutta portali di phishing accuratamente realizzati con commenti falsi, conteggi di download gonfiati e un’interfaccia che riproduce quella del Google Play Store. Questi siti convincono le vittime a installare manualmente file APK, fornendo persino istruzioni su come aggirare gli avvisi di sicurezza di Android.
ClayRat utilizza un metodo di installazione basato sulle sessioni capace di eludere le restrizioni introdotte con Android 13 e di ridurre la percezione del rischio da parte dell’utente. Alcune varianti del malware si presentano come finti aggiornamenti di sistema e nascondono un payload crittografato all’interno dell’app.
Funzionalitร e impatto della minaccia
Dopo l’infezione, ClayRat si imposta come gestore SMS predefinito con lettura, modifica e intercettazione dei messaggi in arrivo. Stabilisce poi una connessione cifrata con il server di comando e controllo attraverso il protocollo AES-GCM e puรฒ ricevere fino a 12 comandi diversi, tra cui l’invio di SMS di massa, la raccolta dei log delle chiamate e la cattura di foto con la fotocamera frontale.
Google ha aggiornato Play Protect per bloccare le varianti note e nuove del malware. La campagna rimane perรฒ in atto e gli esperti di sicurezza raccomandano di evitare il sideload di APK non ufficiali e di mantenere i dispositivi aggiornati con le ultime patch di sicurezza.
Per restare sempre aggiornato seguici su Google News!
