ClayRat؛جاسوس‌افزار اندرویدی با چهره واتس‌اپ، تیک‌تاک و یوتیوب

فهرست مطالب

پژوهشگران شرکت امنیتی Zimperium از شناسایی جاسوس‌افزار جدیدی با نام ClayRat خبر داده‌اند که با تقلید از برنامه‌های محبوبی مانند واتس‌اپ، تیک‌تاک و یوتیوب، کاربران اندرویدی  به‌ویژه در روسیه  را هدف قرار داده است. این بدافزار از طریق کانال‌های تلگرامی و وب‌سایت‌های جعلی منتشر می‌شود و قادر است اطلاعات حساسی مانند پیامک‌ها، گزارش تماس‌ها، اعلان‌ها، تصاویر و داده‌های دستگاه را سرقت کند.

ClayRat با بهره‌گیری از روش‌های مهندسی اجتماعی و صفحات فیشینگ شبیه به فروشگاه Google Play، کاربران را فریب می‌دهد تا نسخه‌های جعلی اپلیکیشن‌های محبوب را به‌صورت دستی روی دستگاه خود نصب کنند. پس از نصب، این بدافزار به‌صورت پنهانی فعال شده و با سوءاستفاده از مجوزهای سیستمی، کنترل کامل دستگاه را در اختیار مهاجمان قرار می‌دهد.

نحوه عملکرد جاسوس‌افزار ClayRat

پژوهشگران جزئیات دقیقی از نحوه عملکرد این بدافزار منتشر کرده‌اند که نشان می‌دهد ClayRat چگونه با فریب کاربران و بهره‌گیری از قابلیت‌های اندروید کنترل دستگاه را در اختیار می‌گیرد.

بردار توزیع

عاملان تهدید فایل‌های APK مخرب را عمدتاً از طریق کانال‌های تلگرام و وب‌سایت‌های فیشینگ منتشر می‌کنند. این صفحات فیشینگ به‌دقت و با ظاهری شبیه به صفحات رسمی یا افزونه‌های محبوب طراحی شده‌اند و برای افزایش مشروعیت، نظرات جعلی و شمار دانلودهای مصنوعی به‌همراه دستورالعمل‌های گام‌به‌گام برای نصب دستی (sideload) APK را نمایش می‌دهند. معمولاً بازدیدکنندگان این سایت‌ها به کانال‌های تلگرامی هدایت می‌شوند که در آن لینک دانلود یا خود فایل APK در اختیارشان قرار می‌گیرد.

Telegram channel spreading ClayRat droppers

روش نصب و دور زدن محدودیت‌های اندروید

بخشی از نمونه‌های ClayRat به‌عنوان دراپر (dropper) عمل می‌کنند؛ یعنی برنامه‌ای که کاربر مشاهده می‌کند صرفاً یک صفحهٔ جعلی «به‌روزرسانی Google Play» است و payload اصلی به‌صورت رمزگذاری‌شده در بخش assets اپلیکیشن پنهان شده است. علاوه بر این، مهاجمان از روش نصب مبتنی بر جلسه (session-based installation) برای دور زدن محدودیت‌های اعمال‌شده در اندروید ۱۳ و بالاتر استفاده می‌کنند؛ جریان نصب طوری طراحی می‌شود که تجربه‌ای شبیه به به‌روزرسانی رسمی پلی‌استور ایجاد کند تا ریسک درک‌شده توسط کاربر کاهش یابد و احتمال تأیید نصب افزایش یابد.

Fake update loading the spyware

کسب مجوزها و سوءاستفاده از نقش پیش‌فرض SMS

ClayRat با هدف‌گذاری روی کسب نقش پیش‌فرض SMS handler، به توانایی‌های گسترده‌ای دست می‌یابد که بدون چرخه مجوزدهی جداگانه فراهم می‌شود. خواندن همه پیامک‌های ورودی و ذخیره‌شده، رهگیری پیامک‌ها قبل از رسیدن به سایر برنامه‌ها، ارسال پیامک بدون تأیید صریح کاربر و دسترسی یا تغییر پایگاه‌داده پیامک‌ها. سوءاستفاده از این نقش باعث می‌شود قابلیت‌های جاسوسی و انتشار انبوه بدافزار به‌طور چشمگیری تقویت شود و دستگاه آلوده را به یک نود توزیع مؤثر تبدیل کند.

ClayRat becoming the default SMS handler

قابلیت‌ها و دامنه عملکرد جاسوس‌افزار ClayRat

ClayRat پس از نصب روی دستگاه قربانی، با سرور فرمان و کنترل (C2) ارتباط برقرار می‌کند که در نسخه‌های جدید با رمزنگاری AES-GCM ایمن شده است. این بدافزار قادر است مجموعه‌ای از فرمان‌ها را اجرا کند، از جمله سرقت پیامک‌ها و گزارش تماس‌ها، گرفتن عکس با دوربین جلو، ضبط اعلان‌ها، ارسال پیامک یا تماس خودکار، و جمع‌آوری اطلاعات دستگاه.

پس از دریافت مجوزهای لازم، ClayRat به‌صورت خودکار فهرست مخاطبین را استخراج کرده و پیامک‌هایی حاوی لینک‌های آلوده برای آن‌ها ارسال می‌کند تا چرخه انتشار ادامه یابد.

واکنش شرکت‌های امنیتی و گوگل به ClayRat

شرکت امنیتی Zimperium به‌عنوان یکی از اعضای App Defense Alliance (ADA)  طرحی مشترک میان گوگل و شرکت‌های امنیتی معتبر برای شناسایی و حذف بدافزارها از اکوسیستم اندروید، پس از شناسایی کمپین ClayRat، تمامی شاخص‌های نفوذ (IoC) را در اختیار گوگل قرار داده است.

در نتیجه، سیستم Google Play Protect اکنون قادر است نسخه‌های شناخته‌شده و حتی نمونه‌های جدید این جاسوس‌افزار را شناسایی و مسدود کند.Zimperium اعلام کرده که راهکارهای امنیت موبایل این شرکت، از جمله zDefend ( ماژول امنیتی تعبیه‌شده در اپلیکیشن‌های بانکی و سازمانی برای شناسایی تهدیدهای لحظه‌ای در سطح دستگاه ) و Mobile Threat Defense (MTD) ( پلتفرمی سازمانی برای پایش و مقابله با بدافزارها، حملات شبکه‌ای و سوءاستفاده از آسیب‌پذیری‌های سیستم‌عامل ) از همان روزهای ابتدایی فعالیت ClayRat توانسته‌اند نسخه‌های مختلف آن را بدون نیاز به به‌روزرسانی امضاها شناسایی کنند.

این همکاری میان Zimperium و گوگل نشان می‌دهد که مقابله با ClayRat به‌صورت هماهنگ و در سطح زیرساختی دنبال می‌شود. با وجود این، پژوهشگران هشدار داده‌اند که حجم بالای نمونه‌های شناسایی‌شده (بیش از ۶۰۰ مورد در سه ماه) نشان‌دهنده سرعت بالای توسعه و گسترش این بدافزار است؛ بنابراین کاربران باید در دانلود و نصب فایل‌های APK از منابع غیررسمی  به‌ویژه کانال‌های تلگرامی و سایت‌های مشکوک  نهایت احتیاط را داشته باشند.

تأثیر و اهمیت تهدید ClayRat

جاسوس‌افزار ClayRat نشان‌دهنده جهشی خطرناک در حملات سایبری علیه کاربران اندروید است. این بدافزار با مهندسی اجتماعی و صفحات فیشینگ پیشرفته، از اعتماد کاربران به اپلیکیشن‌های محبوبی مانند واتس‌اپ، تیک‌تاک و یوتیوب سوءاستفاده کرده و به سرعت در دستگاه‌ها نفوذ می‌کند.

ClayRat تنها به سرقت اطلاعات محدود نمی‌شود؛ بلکه با ارسال خودکار پیام‌های آلوده از طریق فهرست تماس‌ها، گسترش یافته و هر دستگاه آلوده را به یک مرکز توزیع بدافزار تبدیل می‌کند.

0 دیدگاه

دیدگاهتان را بنویسید

Avatar placeholder

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

چهارده + 4 =

ثبت سفارش آنتی‌ویروس سازمانی و دریافت مشاوره رایگان

سفارش آنتی‌ویروس سازمانی خود را ثبت نمایید. کارشناسان ما در اسرع وقت، درخواست شما را بررسی کرده و برای تکمیل فرآیند با شما تماس خواهند گرفت.