ClayRat возвращается: Android-троян научился блокировать удаление
Исследователи Zimperium сообщили, что Android-шпион ClayRat вернулся и стал куда более сложным. Раньше это был простой вредонос, который собирал СМС и историю звонков. Теперь же, по данным zLabs, он превратился в полноценный инструмент наблюдения и даже научился противодействовать попыткам удаления.
ClayRat впервые обнаружили в октябре 2024 года, но новая версия получила расширенный набор функций. Главным изменением стало использование сервисов специальных возможностей Android. Эти механизмы предназначены для людей с ограниченными возможностями, однако злоумышленники применяют их для полного доступа к интерфейсу устройства. Благодаря этому ClayRat может фиксировать нажатия клавиш, считывать ПИН-коды и пароли, а также автоматически снимать блокировку экрана.
Опасность выросла и из-за того, что ClayRat стал защищаться. Когда владелец смартфона пытается удалить приложение, вредонос блокирует попытки нажатий, подменяя их ложными «тапами» по системным кнопкам. Это мешает выключить устройство или удалить троян. Одновременно на экран накладываются поддельные окна — например, вид «системного обновления», — скрывающие реальные действия.
Для распространения ClayRat выдаёт себя за популярные сервисы: видеоплощадки, мессенджеры, региональные приложения вроде такси или парковки. Эксперты обнаружили свыше 25 фальшивых доменов, в том числе копии «YouTube Pro» и «Car Scanner ELM». Дополнительно для передачи APK-файлов используется Dropbox, что помогает обходить фильтры.
После установки троян получает расширенный контроль над смартфоном: записывает экран через MediaProjection API, перехватывает ответы на уведомления и подменяет их, что позволяет красть одноразовые коды и вмешиваться в переписку. В Zimperium считают, что обновлённый ClayRat стал значительно опаснее прежнего и демонстрирует, насколько быстро развиваются мобильные угрозы и почему стандартных мер защиты уже недостаточно.
Впервые ClayRat заметили в России ещё в октябре, когда он маскировался под WhatsApp (принадлежит компании Meta, признанной экстремистской и запрещённой в России), TikTok, Google Photos и YouTube.
Источник: Anti-Malware.ru
Рекомендуем также:
