Sicurezza

ClayRat: lo spyware che sembra WhatsApp

Claudio Garau
Da Claudio Garau
Una persona tiene in mano un Samsung Galaxy che mostra un simbolo di avvertimento rosso con un'icona informativa, invitando gli utenti ad aggiornare subito per non compromettere il telefono.

Un nuovo spyware per Android, ClayRat, รจ stato individuato dai ricercatori di sicurezza di Zimperium. Il malware si diffonde “mascherandosi” da un’applicazione nota, come per esempio WhatsApp, Google Foto, TikTok e YouTube, con l’obiettivo di colpire gli utenti attraverso canali Telegram e siti web malevoli che imitano quelli originali.

Tecniche di diffusione di ClayRat

ClayRat รจ in grado di rubare messaggi SMS, registri delle chiamate, notifiche, fotografie e persino di effettuare chiamate ad insaputa della vittima. Negli ultimi tre mesi sono stati individuati oltre 600 campioni di malware e 50 dropper differenti. Si tratta quindi di una campagna attiva e in piena espansione.

Pubblicitร 

Esso sfrutta portali di phishing accuratamente realizzati con commenti falsi, conteggi di download gonfiati e un’interfaccia che riproduce quella del Google Play Store. Questi siti convincono le vittime a installare manualmente file APK, fornendo persino istruzioni su come aggirare gli avvisi di sicurezza di Android.

ClayRat utilizza un metodo di installazione basato sulle sessioni capace di eludere le restrizioni introdotte con Android 13 e di ridurre la percezione del rischio da parte dell’utente. Alcune varianti del malware si presentano come finti aggiornamenti di sistema e nascondono un payload crittografato all’interno dell’app.

Funzionalitร  e impatto della minaccia

Dopo l’infezione, ClayRat si imposta come gestore SMS predefinito con lettura, modifica e intercettazione dei messaggi in arrivo. Stabilisce poi una connessione cifrata con il server di comando e controllo attraverso il protocollo AES-GCM e puรฒ ricevere fino a 12 comandi diversi, tra cui l’invio di SMS di massa, la raccolta dei log delle chiamate e la cattura di foto con la fotocamera frontale.

Google ha aggiornato Play Protect per bloccare le varianti note e nuove del malware. La campagna rimane perรฒ in atto e gli esperti di sicurezza raccomandano di evitare il sideload di APK non ufficiali e di mantenere i dispositivi aggiornati con le ultime patch di sicurezza.

Iscriviti a Google News Per restare sempre aggiornato seguici su Google News! Seguici

Articoli Correlati

Pubblicitร 
Claudio Garau
Claudio Garau
Web developer, programmatore, Database Administrator, Linux Admin, docente e copywriter specializzato in contenuti sulle tecnologie orientate a Web, mobile, Cybersecurity e Digital Marketing per sviluppatori, PA e imprese.
Articolo precedente
False app di Sora nell’App Store generano migliaia di download
Articolo successivo
Chrome ha un pulsante per eliminare gli annunci sponsorizzati su Google

Leggi anche...

WhatsApp riapre ai chatbot di terze parti: costi e implicazioni per l’AI

Meta ha recentemente annunciato la decisione di riaprire WhatsApp...

WhatsApp permetterร  di programmare i messaggi

La nuova beta 26.7.10.72 di WhatsApp per iOS, distribuita...

WhatsApp: password per proteggere gli account

Gli sviluppatori di WhatsApp hanno pubblicato la versione beta...

Chiamate e videochiamate su WhatsApp Web

WhatsApp starebbe lavorando al supporto per le chiamate vocali...

UE: Meta deve aprire WhatsApp agli assistenti AI della concorrenza

La Commissione europea ha notificato a Meta una Statement...

WhatsApp pensa a un abbonamento con funzionalitร  esclusive

WhatsApp ha rilasciato la versione beta 2.26.4.8 per Android...
Pubblicitร