Специалисты по кибербезопасности зафиксировали быстро развивающуюся кампанию по распространению вредоносного программного обеспечения ClayRat, направленную в первую очередь на русскоязычных пользователей. Большинство жалоб на новый вирус приходит из России, хотя также поступают отчеты и с других стран. Согласно отчёту исследователей из zLabs, вирус распространяется через Telegram-каналы и фишинговые сайты, маскируясь под популярные приложения — WhatsApp, Google Photos, TikTok и YouTube.
После установки ClayRat получает почти полный контроль над устройством: шпионит за перепиской, журналами звонков, уведомлениями, делает снимки с фронтальной камеры и даже способен самостоятельно отправлять СМС или совершать звонки от имени жертвы.
За последние три месяца специалисты выявили более 600 образцов вируса и 50 различных дропперов, что свидетельствует о стремительной эволюции ClayRat. Программа активно использует социальную инженерию — пользователям предлагается установить «обновления» популярных сервисов с поддельных сайтов, которые практически не отличить от настоящих.
Отдельную опасность представляет самораспространение: вирус рассылает фишинговые ссылки всем контактам заражённого телефона с сообщением «Узнай первым! ». Так каждый заражённый смартфон превращается в узел для дальнейшего распространения.
ClayRat злоупотребляет системными привилегиями Android, в частности ролью основного обработчика SMS, что позволяет вирусу обходить запросы разрешений и беспрепятственно читать, сохранять и пересылать сообщения.
По данным экспертов, вредонос способен выполнять следующие команды:
В компании Zimperium, занимающейся мобильной защитой, сообщили, что все известные варианты ClayRat уже выявлены и блокируются их системами. Данные переданы в Google, что позволяет Play Protect предотвращать установку заражённых приложений.
Эксперты предупреждают, что ClayRat продолжает активно развиваться и может получить новые функции. Пользователям рекомендуется не устанавливать APK-файлы из сторонних источников и не переходить по подозрительным ссылкам, даже если они приходят от знакомых.
Источник: www.playground.ru