Le false app TikTok e WhatsApp infettano i dispositivi Android con lo spyware ClayRat

I ricercatori di sicurezza informatica degli zLabs di Zimperium hanno identificato un nuovo spyware per Android in rapida diffusione, noto come ClayRat. Questo spyware prende di mira attivamente gli utenti Android, principalmente quelli in Russia , camuffandosi da applicazioni affidabili come WhatsApp, Google Foto, TikTok e YouTube.

Gli aggressori si affidano a ingegnosi trucchi di ingegneria sociale per infiltrare il malware nei dispositivi. Creano siti web falsi che assomigliano in modo convincente alle pagine ufficiali dei servizi. Ad esempio, in un caso osservato, è stata utilizzata una falsa landing page di GdeDPS per ingannare i visitatori. Questi siti ingannevoli reindirizzano poi gli utenti a canali Telegram speciali, come quello denominato @baikalmoscow , dove è ospitato il file dell'app dannosa.

Ulteriori indagini hanno rivelato che gli operatori inondano addirittura questi canali con falsi commenti positivi e conteggi dei download per ridurre i sospetti degli utenti prima che installino l'app.

Una volta attivo, ClayRat scatena capacità allarmanti. Può rubare i messaggi di testo e la cronologia completa delle chiamate di un utente, scattare foto di nascosto utilizzando la fotocamera frontale del telefono e persino inviare nuovi messaggi di testo o effettuare chiamate direttamente dal dispositivo della vittima senza alcuna autorizzazione da parte dell'utente.

La ricerca di zLabs, condivisa con Hackread.com prima della pubblicazione di lunedì, mostra che ClayRat sta crescendo rapidamente. Negli ultimi tre mesi, sono state rilevate più di 600 diverse versioni dello spyware e 50 app "dropper" (ovvero programmi di installazione che nascondono il vero codice dannoso).

Questo volume di file unici e la velocità con cui vengono prodotte nuove versioni dimostrano che gli operatori modificano costantemente il camuffamento del software per eludere il rilevamento da parte dei sistemi di sicurezza.

Per quanto riguarda la propagazione del malware, i ricercatori hanno scoperto che sfrutta il potente gestore SMS predefinito sui dispositivi Android, sfruttando la sua potente funzione di messaggistica di testo. Questa tecnica gli consente di aggirare gli avvisi di sicurezza standard e ottenere pieno accesso a dati e funzioni sensibili.

Invia quindi automaticamente un SMS dannoso a tutte le persone presenti nella rubrica telefonica della vittima. Il messaggio è generalmente in russo e recita "Узнай первым! ” (Italiano: “Sii il primo a saperlo! ”), e poiché sembra provenire da un amico fidato, è probabile che i destinatari clicchino. Questo spinge ogni dispositivo infetto a diffondere l'infezione ad altri, alimentando una crescita esponenziale. Vale la pena notare che questa capacità di auto-propagazione è una caratteristica importante della campagna.

" Per molti versi, i dispositivi mobili ci hanno riportato indietro di un decennio. Nelle e-mail, abbiamo una certa protezione contro gli utenti compromessi che inviano esche di phishing; tuttavia, questa protezione non esiste negli SMS. Il risultato è che ci fidiamo artificialmente dei messaggi dei nostri contatti, e questo può includere l'installazione di app esterne a Google Play " , ha affermato John Bambenek , Presidente di Bambenek Consulting.

" La protezione fondamentale per qualsiasi utente di dispositivo mobile è installare applicazioni solo da Play Store/App Store autorizzati, anche se si riceve un messaggio da un contatto altrimenti familiare. Questo tipo di tecnologia RAT, che consente ai dispositivi delle vittime di inviare messaggi apparentemente autentici o persino di effettuare chiamate telefoniche, non può essere utilizzato solo per aggirare l'autenticazione a più fattori (MFA), ma anche per sferrare attacchi di impersonificazione ancora più sofisticati " , ha avvertito.

Le scoperte di Zimperium evidenziano una nuova grave minaccia, che per ora è limitata alla Russia, ma potrebbe essere giunto il momento che colpisca utenti di tutto il mondo. Per proteggere il tuo dispositivo da minacce come ClayRat, utilizza esclusivamente il Google Play Store per tutte le tue app e non installare mai file di app (APK) inviati tramite messaggi, social media o siti web casuali. Inoltre, diffida sempre di qualsiasi link che ricevi, anche se proviene da un amico, soprattutto se ti chiede di installare un'app o un aggiornamento.