拡張されたスパイウェア機能とデバイス制御機能を備えた新しいバージョンのClayRatアンドロイドスパイウェアが、サイバーセキュリティ研究者によって特定されました。
最初は10月に発見されたClayRatは、もともとSMSメッセージ、通話ログ、写真の窃取および大量テキストメッセージの送信が可能でした。
最新バージョンは、デフォルトSMS権限とアクセシビリティサービスの広範な悪用を組み合わせることで、はるかに広い機能を導入しています。
改善された自動化とキーロギング機能
Zimperiumからの新しい勧告によると、スパイウェアは感染したデバイスのほぼ完全な制御を可能にする広範な自動操作を実行するようになりました。
主要な機能には、PIN、パスワード、パターンをキャプチャするキーロガーが含まれています。
このアップデートはまた、MediaProjection APIを通じたフルスクリーン記録、悪意のある活動を偽装するオーバーレイ、およびユーザーがデバイスをシャットダウンしたりアプリを削除するのをブロックするように設計された自動タップが含まれています。これらの改善により、マルウェアは以前のバージョンよりも持続性が高くなっています。
Androidマルウェアのトレンドについてさらに読む:新しいAndroid Albiriox マルウェアがダークウェブマーケットで牽引力を獲得
チームは、スパイウェアがグローバルなビデオプラットフォームや地域のタクシーアプリ、駐車アプリなど、よく知られたサービスも模倣していると報告しました。
700以上のユニークなAPKが見つかり、フィッシングサイトやDropboxなどのプラットフォームを通じて配布されています。
研究者は、YouTubeを装ったサイトや自動車診断ツールを装ったサイトを含む、25以上のアクティブなフィッシングドメインを観察しています。
ClayRatの動作方法
インストール後、ClayRatはユーザーにSMS制御の許可を求めるプロンプトを表示し、その後アクセシビリティサービスの有効化へ導きます。
許可が付与されると、Google Play Protectをバイパスするため、Play Storeを自動的に無効化します。さらに、その認証情報盗聴プロセスはロック画面のアクティビティを監視してPIN、パスワード、またはパターンエントリを再構成し、その後自動ジェスチャーを通じてデバイスのロック解除に使用されます。
スパイウェアはまた、偽のNotificationへの返信を収集し、アクティブなアラートを取得します。
ユーザーの欺瞞を維持し、機密情報を盗むため、ClayRatは黒い画面や偽のシステム更新プロンプトなど、複数のオーバーレイを展開します。
Zimperiumは警告したこのキャンペーンはNotification、SMSフロー、認証プロンプト、画面コンテンツを標的とするため、エンタープライズに深刻なリスクをもたらすと。
「現代のワークフォース全体で一般的なBYOD環境では、単一の感染したデバイスがデータ盗聴、詐欺、および企業システムへの不正アクセスの手段となる可能性があります。」と同社は警告しました。
「ClayRatが進化し続け、スパイウェア、リモートコントロール、ロック画面操作機能を拡大するにつれ、組織はデバイスレベルで動作し、バイパスできないモバイルセキュリティが必要です。」
翻訳元: https://www.infosecurity-magazine.com/news/clayrat-android-spyware-upgraded/
