Zimperiumの研究者がブログ記事で明らかにしたところによると、急速に拡散しているAndroidスパイウェアがロシア全土で広がっており、TikTokやYouTubeなどの人気アプリに偽装しています。
同社はCyberScoopに対し、このキャンペーンがロシア国外にも拡大する可能性が高いと述べました。
Zimperium zLabsの研究者は、3か月間で600以上のサンプルを観測したと、同社は木曜日のブログ記事で述べています。一度端末に侵入すると、このスパイウェアはテキストメッセージ、通話履歴、デバイス情報などを盗み、写真を撮ったり電話をかけたりするなど、スマートフォンを操作できます。
「主にロシアを標的としていますが、他のペイロードにも容易に適応でき、感染したすべての端末が攻撃の踏み台となるため、世界的なキャンペーンになる可能性が高いです」と、ZimperiumのチーフサイエンティストであるNico Chiaraviglio氏は述べています。「ただし、攻撃者の意図を知るのは簡単ではありません。」
ClayRatと名付けられたこのスパイウェアには、被害者を感染させるための注目すべきツールがいくつかあります。
「ClayRatは、その広範な監視能力だけでなく、AndroidのデフォルトSMSハンドラーの役割を悪用する点でも深刻な脅威です」とブログ記事には書かれています。「この手法により、標準の実行時許可プロンプトを回避し、警告を出さずに機密データへアクセスできます。」
また、Zimperiumによれば、ClayRatは「検知を回避するために新たな難読化やパッキングの層を追加し、急速に進化しています。」
Zimperiumは、スパイウェアの背後に誰がいるかについては言及しませんでした。ロシア政府はサイバースペースの強国ですが、通常はスパイウェアベンダーに依存する必要はなく、独自の能力を持っています。しばしば—しかし必ずしも—クレムリンと関連または関連が疑われるスパイウェアは、国内の標的を監視するために使われます。
「ClayRatは、ユーザーの信頼と利便性を悪用するよう設計された、巧妙に仕組まれたソーシャルエンジニアリングとウェブベースの詐欺の組み合わせによって配布されています」とZimperiumは述べています。「このキャンペーンは、著名なサービスやアプリケーションを装ったTelegramチャンネルやフィッシングサイトに大きく依存しています。」
ClayRatの利用者もフィッシングプラットフォームに依存しています。
翻訳元: https://cyberscoop.com/russian-spyware-clayrat-is-spreading-evolving-quickly-according-to-zimperium/
