Una campaña de software espía para Android en rápida evolución llamada ClayRat se dirige a usuarios de Rusia haciéndose pasar por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube, utilizando una combinación de canales de Telegram y sitios web de phishing similares como señuelos para instalarlos.
«Una vez activado, el software espía puede robar mensajes SMS, registros de llamadas, notificaciones, información del dispositivo, tomar fotografías con la cámara frontal e incluso enviar mensajes SMS y realizar llamadas directamente desde el dispositivo de la víctima», dijo el investigador de Zimperium, Vishnu Pratapagiri, en un informe compartido con Hacker News.
El malware está diseñado para propagarse enviando un enlace malicioso a todos los contactos en la agenda telefónica de la víctima, lo que demuestra una táctica agresiva de los atacantes que utilizan dispositivos infectados como vector de distribución.
La empresa de seguridad móvil anunció que ha detectado más de 600 muestras y 50 goteros en los últimos 90 días. Cada iteración incorporó nuevas capas de ofuscación, lo que le permitió evadir los esfuerzos de detección y adelantarse a las defensas de seguridad. El nombre del malware es una referencia a un panel de comando y control (C2) que se puede utilizar para administrar de forma remota los dispositivos infectados.
La cadena de ataque implica redirigir a los visitantes desprevenidos a estos sitios falsos a canales de Telegram controlados por el adversario, donde se les engaña para que descarguen archivos APK inflando artificialmente los números de descarga o compartiendo testimonios inventados como prueba de popularidad.
En otros casos, se encontraron sitios web falsos que afirmaban ofrecer «YouTube Plus» con funciones premium y alojaban archivos APK que podían eludir las protecciones de seguridad impuestas por Google para evitar la descarga de aplicaciones en dispositivos con Android 13 y versiones posteriores.
«Para evitar las limitaciones de la plataforma y la fricción adicional introducida en las nuevas versiones de Android, algunas muestras de ClayRat actúan como cuentagotas. La aplicación mostrada no es más que un instalador liviano que muestra una pantalla de actualización falsa de Play Store, mientras que la carga útil cifrada real está oculta dentro de los activos de la aplicación», dijo la compañía. «Este método de instalación basado en sesiones reduce el riesgo percibido y aumenta la probabilidad de que se instale software espía cuando visita una página web».
Una vez instalado, ClayRat se comunica con la infraestructura C2 mediante HTTP estándar y solicita al usuario que la convierta en la aplicación de SMS predeterminada para acceder a contenido confidencial y funciones de mensajería. Esto le permite capturar de forma encubierta registros de llamadas, mensajes de texto, notificaciones y difundir malware a todos sus demás contactos.
Otras funciones de este malware incluyen realizar llamadas telefónicas, recuperar información del dispositivo, tomar fotografías con la cámara del dispositivo y enviar una lista de todas las aplicaciones instaladas a un servidor C2.
ClayRat es una poderosa amenaza no sólo por sus capacidades de monitoreo, sino también por su capacidad para convertir dispositivos infectados en nodos de distribución de manera automatizada. Esto permite a los actores de amenazas ampliar rápidamente su radio de ataque sin intervención manual.
El desarrollo se produce después de que académicos de la Universidad de Luxemburgo y la Universidad Cheikh Anta Diop descubrieran que las aplicaciones preinstaladas en teléfonos inteligentes Android de bajo costo vendidos en África se ejecutaban con privilegios elevados, y un paquete proporcionado por el proveedor enviaba la identificación del dispositivo y los detalles de ubicación a un tercero externo.
El estudio examinó 1.544 APK recopilados de siete teléfonos inteligentes en África y encontró que «145 aplicaciones (9%) expusieron datos confidenciales, 249 (16%) aplicaciones expusieron componentes críticos sin las protecciones adecuadas y muchas presentaron riesgos adicionales; 226 ejecutaron comandos privilegiados o peligrosos; 79 interactuaron con mensajes SMS (leídos, enviados o eliminados); 33 «realizaron una operación de instalación silenciosa».
Source link
