江苏
关键词
恶意软件
近期,一种名为ClayRat的快速演变 Android 间谍软件正针对俄罗斯用户展开攻击。研究发现,攻击者通过伪装成WhatsApp、Google Photos、TikTok、YouTube等热门应用的钓鱼网站与 Telegram 频道,诱导用户下载安装受感染的 APK 文件。
据移动安全公司Zimperium研究员 Vishnu Pratapagiri 披露,该间谍软件一旦激活,可窃取短信、通话记录、通知内容与设备信息,甚至能远程启用前置摄像头拍照、发送短信或拨打电话。同时,它还具备自我传播能力,会自动向受害者通讯录中的所有联系人发送带毒链接,以扩大感染范围。
Zimperium 表示,过去 90 天内已检测到超过 600 个样本和 50 个投递器(dropper),每个版本都在不断强化混淆技术,以逃避防御系统检测。ClayRat 之名来自其命令与控制(C2)面板,该面板可远程操控受感染设备。
攻击链通常包括:
诱导用户访问仿冒网站;
跳转至攻击者控制的 Telegram 频道;
提供伪造下载统计与虚假好评,诱骗受害者下载伪装应用。
部分假网站还声称提供“YouTube Plus”等“高级功能”,并分发能绕过Android 13安全限制的安装包。某些版本的 ClayRat 甚至作为“假应用更新程序”运行,在表面显示更新进度时,后台解密并安装真实恶意载荷,从而在用户无察觉的情况下完成感染。
感染后,ClayRat 会请求成为默认短信应用,以便访问消息内容;并利用标准 HTTP 协议与 C2 服务器通信。它还能获取设备信息、调用摄像头拍照、收集已安装应用列表、发起通话或窃取短信内容。
Zimperium 指出,ClayRat 的危险性不仅在于其监控能力,还在于它能将被感染设备变成新的传播节点,形成自动化扩散链条,使攻击者无需人工介入即可迅速扩大影响范围。
谷歌发言人回应称,Play Protect已可自动阻止已知的 ClayRat 版本,并提醒用户仅通过官方Google Play 商店下载应用,避免侧载可疑 APK。
此外,来自卢森堡大学与塞内加尔谢赫·安塔·迪奥普大学的研究人员在一项相关研究中指出,非洲部分低价 Android 手机的预装应用存在严重风险。这些应用具有高权限操作能力,部分甚至会传输设备标识符与位置信息至外部服务器。研究分析了 7 款非洲市场智能机的 1,544 个 APK 文件,结果发现9% 泄露敏感数据、16% 缺乏安全防护、部分具备静默安装与短信操作能力。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
