ClayRat 2.0: Android-пацаны под прицелом WhatsApp и TikTok

Пока пользователи листают ленту и ставят лайки, на их Android-устройствах тихо разворачивается ClayRat — свежий кибершпион для мобильных, который за последние пару месяцев разросся до 600+ образцов и 50 дропперов. Русские Telegram-каналы и поддельные сайты под видом популярных приложений вроде WhatsApp, TikTok, Google Photos и YouTube теперь используются как приманка, чтобы заставить юзеров скачать APK-файлы.

Классический ход для хакеров: на сайте якобы миллионы скачиваний, поддельные отзывы и «подтверждённая популярность» — всё, чтобы жертва почувствовала себя частью толпы и кликнула на кнопку. В других случаях жертв заманивают под видом «YouTube Plus» с премиум-функциями, где в APK спрятан шпионский дроппер. Платформа думает, что это безобидное обновление Play Store, а на самом деле внутри скрыт зашифрованный payload, готовый к работе.

Когда ClayRat уже на устройстве, начинается веселье: он умудряется воровать SMS, логи звонков, уведомления, список установленных приложений, делает фото фронталкой без ведома юзера, отправляет сообщения и звонит с твоего телефона. И всё это с одного легковесного APK, который маскируется под «обычное приложение», пока бэкэнд через HTTP командует, что делать дальше.

Особенно цинично то, что ClayRat превращает заражённое устройство в распространителя malware: каждый контакт в телефонной книге получает ссылку на заражённый APK, и вирус сам себя рассылает, расширяя охват без участия оператора. Это как пираты, которые не только крадут данные, но и строят флотоводство из чужих смартфонов.

Google уже включила Play Protect, который ловит известные версии ClayRat, но как показывает практика, пользователи всё равно подхватывают новейшие итерации. Проблему усугубляет тот факт, что бюджетные Android-смартфоны, особенно в Африке, приходят с предустановленными приложениями с повышенными привилегиями — часть из них сама передаёт данные третьим лицам, включая идентификаторы устройств и геопозицию. Исследование Университета Люксембурга и Université Cheikh Anta Diop выявило, что из 1 544 APK, установленных на семь смартфонов, 145 сливают конфиденциальные данные, 249 открывают критические компоненты без защиты, а 226 выполняют привилегированные команды. Некоторые приложения умеют чит-коды для SMS, включая чтение, отправку и удаление, а 33 проводят скрытые установки других APK.

ClayRat — это не просто шпион, это полноценный мобайл-ботнет в кармане пользователя. Он умеет маскироваться, избегать обнаружения, шифровать свои payload’ы и распространяться через жертв, превращая каждый смартфон в узел атаки.

Мораль простая: если на устройстве вдруг появился «обновлённый WhatsApp» или «YouTube Plus», не спеши нажимать Install. Каждое APK теперь может быть маленьким ClayRat’ом с фронталкой на страже и почтовым спамом для твоих контактов. Android — это уже не просто операционная система, а поле для экспериментов хакеров с живыми, подвижными устройствами.

Берегите себя и свои нервы.