ロシアで一時的に注目を集めたAndroidスパイウェア作戦は、セキュリティ上の欠陥がそのインフラストラクチャを露出させ、当局が容疑者である開発者を逮捕した後、数ヶ月以内に崩壊したと思われる、とサイバーセキュリティ研究者は述べた。
ClayRatとして知られるマルウェアは、スパイ活動と感染したAndroidデバイスの遠隔制御用に設計されました。インストール後、SMSメッセージとコールログをインターセプトしたり、連絡先にアクセスしたり、写真を撮ったり、画面を記録したり、リモートコマンド・アンド・コントロールサーバーから送信されたコマンドを実行できました。
2025年10月の登場直後に注目を集めたにもかかわらず、ClayRatのインフラストラクチャは急速に悪化しました。12月までに、マルウェアに関連するすべての既知のコマンドサーバーはオフラインになりました。ロシアのサイバーセキュリティ企業Solarの研究者は金曜日に発表されたレポートで述べました。SolarはロシアのRostelecom国有テレコム大手の子会社です。
このシャットダウンは、ロシアのクラスノダル市でマルウェア開発の容疑者である学生の逮捕と一致しているように見えます。彼はTelegramチャネルを通じてClayRatを販売し、1週間あたり90ドルまたは1ヶ月あたり300ドルの料金を顧客に請求したり、マルウェアを通じて生成された収益の15%シェアを取得したりしたと主張されています。
セキュリティ企業Zimperiumの以前のレポートによると、ピーク時にClayRatは急速に拡大していました。このレポートは600以上のマルウェアサンプルと3ヶ月間にわたってインストールするために使用された約50のドロッパーを特定しました。
マルウェアは主にフィッシングWebサイトと正当なサービスに偽装したアプリケーションを通じて配布され、WhatsApp、Google Photos、TikTok、YouTubeを模倣したプラットフォーム、およびロシアのタクシーと駐車アプリが含まれました。研究者は、キャンペーンが主にロシアのユーザーを対象としていたと述べました。
Solarによると、プロジェクトの崩壊は開発者による一連の技術的および運用上の誤りによって加速されました。
マルウェアは複数の脆弱性を含んでいた、と彼らは述べました。プレーンテキストで保存されたパスワード、弱いコード難読化、その機能を識別しやすくする明白なコマンド名への依存を含みます。配布方法も予測可能でした。マルウェアはTelegramで公然と宣伝され、よく知られたアプリケーションを偽装するフィッシングサイトを通じて配布されました。
「野心的な機能にもかかわらず、ClayRatは多くの短命なAndroidリモートアクセストロイの道をたどりました」とSolarは述べました。「活動の短い急増の後、そのインフラストラクチャが悪化し、プロジェクトは放棄されたと思われ、その作成者は現在法執行機関に追跡されています。」
Solarは、ClayRatの崩壊が他の最近のマルウェアプロジェクトの運命を反映していることに注目しました。昨年発売されたGorillaとして知られるバンキングトロイは、オペレーターが同様のセキュリティミスを犯した後、数ヶ月以内にシャットダウンしました。
翻訳元: https://therecord.media/russia-malware-arrest-clayrat
