Spyware บน Android ตัวใหม่ชื่อว่า ClayRat กำลังหลอกล่อเหยื่อที่เป็นเป้าหมาย โดยปลอมตัวเป็นแอปพลิเคชัน และบริการยอดนิยมหลายรายการ เช่น WhatsApp, Google Photos, TikTok และ YouTube
มัลแวร์ตัวนี้กำลังโจมตีผู้ใช้งานในรัสเซียผ่านช่องทาง Telegram และเว็บไซต์ที่ดูเหมือนจะน่าเชื่อถือ แต่แท้จริงแล้วมันซ่อนภัยคุกคามไว้ โดยสามารถขโมยข้อความ SMS, บันทึกการโทร, การแจ้งเตือน, ถ่ายภาพ และแม้กระทั่งทำการโทรออกได้
นักวิจัยด้านมัลแวร์จากบริษัท Zimperium ซึ่งเป็นผู้เชี่ยวชาญด้านความปลอดภัยบนมือถือระบุว่า พวกเขาได้บันทึกตัวอย่างมัลแวร์มากกว่า 600 ตัวอย่าง และโปรแกรมที่ใช้ในการติดตั้งมากกว่า 50 ตัวในช่วง 3 เดือนที่ผ่านมา ซึ่งแสดงให้เห็นถึงความพยายามอย่างจริงจังจากผู้โจมตีในการขยายขนาดการโจมตีนี้
ClayRat campaign
แคมเปญ ClayRat ได้รับการตั้งชื่อตาม command and control (C2) server ของมัลแวร์นี้ โดยมีกลยุทธ์การหลอกลวงที่ซับซ้อน เริ่มต้นด้วยพอร์ทัลฟิชชิ่งที่สร้างขึ้นอย่างแนบเนียน และใช้โดเมนที่ลงทะเบียนซึ่งเลียนแบบหน้าบริการที่น่าเชื่อถือ
เว็บไซต์เหล่านี้จะโฮสต์ หรือเปลี่ยนเส้นทางผู้เข้าชมไปยังช่องทาง Telegram ซึ่งมีไฟล์แพ็คเกจ Android (APK) ให้กับเหยื่อที่ไม่ทันระวัง
เพื่อสร้างความน่าเชื่อถือ ผู้ไม่หวังดีได้เพิ่มความเห็นปลอม ตัวเลขการดาวน์โหลดที่สูงเกินจริง และใช้ UX ปลอมที่คล้ายกับ Play Store พร้อมคำแนะนำทีละขั้นตอนเกี่ยวกับวิธีการโหลด APK จากแหล่งภายนอก และหลีกเลี่ยงคำเตือนด้านความปลอดภัยของ Android
ตามรายงานจาก Zimperium บางตัวอย่างของมัลแวร์ ClayRat ทำหน้าที่เป็นตัว droppers โดยแอปที่ผู้ใช้เห็นจะเป็นหน้าจออัปเดตปลอมของ Play Store และข้อมูล encrypted payload จะถูกซ่อนอยู่ในทรัพยากรของแอป
มัลแวร์จะซ่อนตัวในอุปกรณ์โดยใช้วิธีการติดตั้งแบบ "session-based" ซึ่งช่วยหลีกเลี่ยงข้อจำกัดของ Android 13 ขึ้นไป และทำให้ผู้ใช้ไม่สงสัย
นักวิจัยระบุว่า “วิธีการติดตั้งแบบ session-based นี้ทำให้ความเสี่ยงที่ผู้ใช้รับรู้ลดลง และเพิ่มโอกาสที่การเยี่ยมชมเว็บไซต์จะนำไปสู่การติดตั้งสปายแวร์”
เมื่อมัลแวร์ทำงานบนอุปกรณ์แล้ว มันจะใช้เครื่องนั้นเป็นฐานเพื่อแพร่กระจายต่อ โดยส่งข้อความ SMS ไปยังรายชื่อผู้ติดต่อของเหยื่อ
ความสามารถของสปายแวร์
สปายแวร์ ClayRat จะทำหน้าที่เป็นตัวจัดการ SMS เริ่มต้นบนอุปกรณ์ของเหยื่อ ทำให้มันสามารถอ่านข้อความ SMS ทั้งหมดที่เข้ามา และที่ถูกเก็บไว้, ดักจับข้อความเหล่านั้นก่อนที่แอปอื่นจะเข้าถึง และยังสามารถปรับแก้ฐานข้อมูล SMS ได้อีกด้วย
สปายแวร์จะติดต่อกับเซิร์ฟเวอร์ C2 โดยใช้การเข้ารหัส AES-GCM ในเวอร์ชันล่าสุด ก่อนที่จะได้รับหนึ่งใน 12 คำสั่งที่รองรับดังนี้:
- get_apps_list — ส่งรายชื่อแอปที่ติดตั้งไปยัง C2
- get_call — ส่งบันทึกการโทร
- get_camera — ถ่ายภาพจากกล้องหน้า และส่งไปยังเซิร์ฟเวอร์
- get_sms_list — ขโมยข้อความ SMS
- messsms — ส่ง SMS ไปยังรายชื่อติดต่อทั้งหมด
- send_sms / make_call — ส่ง SMS หรือโทรออกจากอุปกรณ์
- notifications / get_push_notifications — ดักจับการแจ้งเตือน และข้อมูล push data
- get_device_info — เก็บข้อมูลเกี่ยวกับอุปกรณ์
- get_proxy_data — ดึง URL ของ WebSocket Proxy, เพิ่มหมายเลขอุปกรณ์ และเริ่มต้นการเชื่อมต่อ (แปลงจาก HTTP/HTTPS เป็น WebSocket และ schedules task)
- retransmishion — ส่ง SMS ไปยังหมายเลขที่ได้รับจาก C2
เมื่อได้รับสิทธิ์ที่จำเป็นแล้ว สปายแวร์จะเริ่มเก็บข้อมูลรายชื่อติดต่อโดยอัตโนมัติ และโปรแกรมจะส่ง SMS ไปยังทุกคนในรายชื่อติดต่อเพื่อแพร่กระจายไปยังกลุ่มที่ใหญ่ขึ้น
ในฐานะสมาชิกของ App Defense Alliance, Zimperium ได้แชร์ข้อมูล IoCs เต็มรูปแบบกับ Google และตอนนี้ Play Protect ก็สามารถบล็อกเวอร์ชันที่รู้จัก และเวอร์ชันใหม่ของสปายแวร์ ClayRat ได้
อย่างไรก็ตาม นักวิจัยได้เน้นย้ำว่าแคมเปญนี้มีขนาดใหญ่ และกระจายออกไปอย่างรวดเร็ว โดยมีตัวอย่างมากกว่า 600 ตัวอย่างที่ถูกบันทึกไว้ภายในสามเดือน
ที่มา : bleepingcomputer
You must be logged in to post a comment.