Скачали WhatsApp или TikTok? ClayRat уже рассылает себя всем вашим контактам

leer en español

ClayRat Android Zimperium Google Telegram вредонос шпионское ПО
Скачали WhatsApp или TikTok? ClayRat уже рассылает себя всем вашим контактам
ClayRat Android Zimperium Google Telegram вредонос шпионское ПО

Заражённые устройства становятся невольными соучастниками вредоносной кампании.

image

Шпионская кампания ClayRat стремительно развивается и всё активнее нацеливается на пользователей Android-устройств. По данным компании Zimperium, вредонос активно распространяется среди российских пользователей через поддельные сайты и каналы Telegram, маскируясь под популярные приложения вроде WhatsApp, TikTok, YouTube и Google Photos. После установки вредонос получает доступ к широкому спектру функций, включая чтение SMS и уведомлений, просмотр списка установленных приложений, съёмку фото с фронтальной камеры, а также возможность совершать звонки и рассылать сообщения.

Основная особенность ClayRat — агрессивный механизм самораспространения. Вредонос автоматически рассылает вредоносные ссылки всем контактам жертвы, превращая заражённое устройство в активный узел распространения. Это позволяет создателям кампании стремительно масштабировать атаку без участия человека. За последние 90 дней специалисты зафиксировали не менее 600 уникальных образцов шпионской программы и около 50 загрузчиков. Каждая новая версия включает дополнительные уровни маскировки, что позволяет обходить защитные механизмы.

Распространение начинается с поддельных сайтов, перенаправляющих жертву на контролируемые злоумышленниками каналы в Telegram. Там предлагается скачать вредоносные APK-файлы с якобы высоким рейтингом загрузок и положительными отзывами. Отдельного внимания заслуживает фальшивый «YouTube Plus» с «премиум-функциями», установка которого возможна даже на устройствах с Android 13 и выше — несмотря на встроенные ограничения платформы.

Некоторые версии ClayRat маскируются под обычные приложения и служат лишь установщиками. На экране отображается поддельное окно обновления Google Play, в то время как зашифрованный вредоносный код прячется во внутренних ресурсах. Такой подход снижает настороженность пользователя и повышает вероятность успешного заражения. После активации вредонос запрашивает право быть установленным по умолчанию в качестве приложения для SMS, что даёт ему полный доступ к сообщениям и уведомлениям.

ClayRat использует стандартные HTTP-запросы для связи с управляющей инфраструктурой и может передавать туда подробную информацию об устройстве. Его функции включают также съёмку фото, отправку списка установленных приложений и управление вызовами. Потенциальная опасность вредоноса заключается не только в его шпионских возможностях, но и в способности превратить заражённое устройство в автоматизированный инструмент распространения, что серьёзно затрудняет сдерживание угрозы.

По утверждению Google, активные версии ClayRat уже блокируются на устройствах с сервисами Google Play благодаря защите Play Protect. Однако злоумышленники продолжают адаптироваться, и угроза сохраняет актуальность.

Параллельно с этим исследователи из Университета Люксембурга и Университета имени Шейха Анта Диопа изучили предустановленные приложения на бюджетных Android-смартфонах, продаваемых в Африке. Из 1544 проанализированных APK-файлов 145 раскрывали конфиденциальные данные, 249 предоставляли доступ к критичным компонентам без защиты, а 226 выполняли команды с повышенными привилегиями. Это указывает на системную уязвимость таких устройств и дополнительные риски для пользователей.