「ClayRat」と呼ばれる新たなAndroidスパイウェアが、WhatsApp、Googleフォト、TikTok、YouTubeなどの人気アプリやサービスになりすまして、被害者を誘い込んでいます。
このマルウェアは、Telegramチャンネルや正規に見える悪意のあるウェブサイトを通じてロシアのユーザーを標的にしています。SMSメッセージ、通話履歴、通知の窃取、写真の撮影、さらには電話の発信まで可能です。
モバイルセキュリティ企業Zimperiumのマルウェア研究者によると、過去3か月間で600以上のサンプルと50種類以上の異なるドロッパーを確認しており、攻撃者が積極的に活動を拡大していることが示されています。
ClayRatキャンペーン
マルウェアのコマンド&コントロール(C2)サーバーにちなんで名付けられたClayRatキャンペーンは、正規サービスページを精巧に模倣したフィッシングポータルや登録ドメインを利用しています。
これらのサイトは、訪問者をTelegramチャンネルに誘導し、そこでAndroidパッケージファイル(APK)が無警戒な被害者に提供されます。
これらのサイトに信憑性を持たせるため、攻撃者は偽のコメントや水増しされたダウンロード数、さらにPlayストア風のUXと、APKのサイドロードやAndroidのセキュリティ警告を回避する手順を掲載しています。
出典:Zimperium
Zimperiumによると、ClayRatマルウェアの一部サンプルはドロッパーとして機能し、ユーザーに見えるのは偽のPlayストアのアップデート画面で、暗号化されたペイロードがアプリのアセット内に隠されています。
このマルウェアは、「セッションベース」のインストール手法を使って端末に潜み、Android 13以降の制限を回避し、ユーザーの疑念を減らします。
「このセッションベースのインストール手法は、リスク認知を下げ、ウェブページ訪問がスパイウェア感染につながる可能性を高めます」と研究者は述べています。
一度端末で活動を開始すると、マルウェアは新たな被害者を増やすため、感染端末を踏み台にして被害者の連絡先リストにSMSを送信します。
出典:Zimperium
スパイウェアの機能
ClayRatスパイウェアは感染端末でデフォルトのSMSハンドラーの役割を担い、すべての受信・保存SMSを読み取ったり、他のアプリより先に傍受したり、SMSデータベースを改ざんしたりできます。
出典:Zimperium
スパイウェアはC2サーバーと通信を確立し、最新バージョンではAES-GCMで暗号化され、次の12種類のコマンドのいずれかを受信します:
- get_apps_list — インストール済みアプリ一覧をC2に送信
- get_calls — 通話履歴を送信
- get_camera — フロントカメラで写真を撮影しサーバーへ送信
- get_sms_list — SMSメッセージを流出
- messsms — すべての連絡先に一斉SMS送信
- send_sms / make_call — 端末からSMS送信または通話発信
- notifications / get_push_notifications — 通知やプッシュデータの取得
- get_device_info — 端末情報の収集
- get_proxy_data — プロキシWebSocket URLを取得し、端末IDを付加して接続オブジェクトを初期化(HTTP/HTTPSをWebSocketに変換しタスクをスケジューリング)
- retransmishion — C2から受信した番号にSMSを再送信
必要な権限が付与されると、スパイウェアは自動的に連絡先を収集し、すべての連絡先にSMSを自動作成・送信して大量拡散を行います。
App Defense AllianceのメンバーであるZimperiumは、完全なIoCをGoogleと共有し、Play Protectは既知および新種のClayRatスパイウェアをブロックしています。
しかし研究者は、このキャンペーンが非常に大規模で、3か月間で600以上のサンプルが記録されていると強調しています。
