Портал Bleeping Computer предупредил, что появился новый шпионский вирус для Android под названием ClayRat, маскирующийся *WhatsApp, Google Фото, TikTok и YouTube. Цель хакеров — привлечь внимание российских пользователей через Telegram-каналы и вредоносные веб-сайты.
Программа способна красть SMS-сообщения, журналы вызовов, уведомления, делать фотографии и совершать звонки от имени жертвы. Злоумышленники используют фишинговые сайты, имитирующие легальные сервисы, чтобы заманить пользователей. Жертвы переходят по ссылкам в Telegram-каналах и загружают вредоносные APK-файлы, выдаваемые за обновления Play Store. Для обхода ограничений ОС, начиная с Android 13, используется метод установки «на основе сеанса».
ClayRat становится обработчиком SMS по умолчанию. Программа может отправлять массовые SMS контактам жертвы и собирать информацию об устройстве. Новые версии вредоноса защищены шифрованием AES-GCM.
Компания Zimperium, входящая в Альянс по защите приложений (App Defense Alliance), сообщила о проблеме Google, что привело к блокировке известных и новых вариантов вредоносного ПО с помощью Play Protect. Однако хакерская кампания оказалась масштабной: за три месяца было выявлено более 600 случаев заражения.