ClayRatという新たなAndroidスパイウェアは、その機能が大幅に強化され、当初の想定をはるかに上回る脅威となっています。モバイルセキュリティ企業Zimperiumは、このスパイウェアに関する重要な最新情報を公開し、この新バージョンは検出がより困難になっただけでなく、デバイスを完全に乗っ取る機能にまでアップグレードされていることを明らかにしました。
初期発見と新機能
以前Hackread.comが報じたように、ZimperiumのzLabsは2025年10月、主にロシアのユーザーを標的とする急速に拡散するAndroidスパイウェアとしてClayRatを発見しました。ClayRatはWhatsApp、Googleフォト、TikTok、YouTubeといった人気アプリを装っていました。当時からすでに、通話履歴やSMSメッセージなどの機密データを盗み出し、スマートフォンのカメラを使って被害者の写真を撮影することさえ可能でした。
この新バージョンも引き続き、ロシアのタクシーや駐車アプリなどのローカルサービスやアプリを装います。しかし、追加された機能により、「以前のバージョンと比べて、より危険なスパイウェアになっている」と、zLabsの研究者Vishnu Pratapagiri氏とFernando Ortega氏は、Hackread.comに独占提供された最新のブログ記事の中で述べています。
報告によると、アップデート版ClayRatは、Androidの強力な機能である「ユーザー補助サービス(Accessibility Services)」を悪用しています。まずユーザーにデフォルトSMSアプリの権限を与えるよう求め、その後、ユーザー補助サービスを有効にするよう誘導します。
この新たな能力により、スパイウェアはロック画面の情報を記録し、PINコード、パスワード、パターンロックなどを取得して、自動的にデバイスのロックを解除できるようになります。また、画面上のあらゆる操作を録画できるため、攻撃者は被害者が何を見て何を入力しているのかを正確に把握できます。
支配を強固にするために、このマルウェアは偽の「システムアップデート」通知のようなフェイク画面をディスプレイ上に重ねて表示し、ユーザーの操作を妨害します。そのうえで、自動化された画面タップを使ってGoogle Play プロテクトを無効化し、悪意あるアプリのアンインストールやスマートフォンの電源オフを阻止します。最終的には、本物の通知のように見えるカスタムメッセージを偽装表示し、返信として入力されたパスワードなどの個人情報を盗み取ることもできます。
企業が懸念すべき理由
ClayRatは、従業員が仕事に自分のスマートフォンを利用するケースが多いことから、企業にとって深刻なリスクとなります。業務用デバイスが侵害されると、攻撃者は企業メール、メッセージアプリ、その他の業務データに容易にアクセスできてしまいます。
このスパイウェアは依然として積極的に拡散しており、研究者らは、Car Scanner ELMのようなユーティリティツールを含むさまざまなアプリを装った25以上の不正なフィッシングドメイン上での活動を確認しています。また、信頼性の高いクラウドサービスであるDropboxを利用して悪意あるファイルを配布しています。Zimperiumはすでに700種類以上のユニークなバージョンを確認しており、このオペレーションがいかに急速に拡大しているかを示しています。
分かっているように、デバイスを完全に掌握できる脅威から守るには、非常に強力なセキュリティが必要です。最も簡単かつ効果的な防御策は、公式のGoogle Play ストアからのみアプリをインストールし、とりわけユーザー補助サービス(Accessibility Service)の権限については、付与する前によく確認することです。
翻訳元: https://hackread.com/clayrat-android-spyware-variant-device-control/
