یک بدافزار جدید اندرویدی با آلوده کردن گوشی‌ها، لینک‌های مخرب را به تمامی مخاطبین فرد ارسال می‌کند. این بدافزار در درجه اول کاربران روسیه را هدف قرار داده، اما شرکت امنیت سایبری Zimperium می‌گوید هکرها در حال توسعه سریع روش‌های حمله خود هستند.

شرکت امنیت سایبری Zimperium درباره بدافزار جدیدی به نام «ClayRat» هشدار داد که می‌تواند از گوشی‌های آلوده جاسوسی کرده و اطلاعات آن‌ها را سرقت کند. این بدافزار پیام‌های متنی (SMS) را رهگیری می‌کند و از تماس‌ها گزارش می‌گیرد، علاوه بر این گفته می‌شود که به ضورت مخفیانه عکس می‌گیرد.

این بدافزار همچنین از گوشی آلوده برای هدف قرار دادن قربانیان بیشتر استفاده می‌کند. Zimperium توضیح داد که «ClayRat با ارسال لینک‌های مخرب به تمامی مخاطبین ذخیره‌شده در گوشی قربانی، به‌طور تهاجمی منتشر می‌شود و عملاً هر دستگاه آلوده را به یک هاب توزیع تبدیل می‌کند.» به همین دلیل، به نظر می‌رسد این بدافزار با سرعتی نگران‌کننده در حال گسترش است و Zimperium تنها در سه ماه گذشته، بیش از ۶۰۰ نمونه از آن را مشاهده کرده است.

روش‌های فریب کاربران
در حال حاضر، ClayRat عمدتاً کاربران روسیه را هدف قرار داده است. هکرها برای فریب کاربران و ترغیب آن‌ها به نصب بدافزار، از برنامه پیام‌رسان تلگرام و وب‌سایت‌های جعلی که خود را به‌عنوان برندهای معروف جا می‌زنند، استفاده می‌کنند. این بدافزار در پوشش اپلیکیشن‌های محبوبی مانند TikTok، YouTube و Google Photos ظاهر می‌شود. به عنوان مثال، Zimperium متوجه شد که این بدافزار از طریق یک وب‌سایت جعلی اما رسمی به نام YouTube Plus در حال گسترش است.

Zimperium گفته است برای افزایش موفقیت در نصب، بدافزار اغلب با دستورالعمل‌های ساده و گام به گام همراه است که کاربران را تشویق می‌کند تا هشدارهای امنیتی داخلی اندروید را دور بزنند. اپراتورهای این حمله همچنین با استفاده از شواهد اجتماعی ساختگی، از جمله نظرات مثبت جعلی، افزایش غیرواقعی تعداد دانلودها و گواهی‌های دروغین کاربران، کانال‌های تلگرامی خود را تقویت می‌کنند تا از شک و تردید کاربران بکاهند.

دور زدن امنیت اندروید و سوءاستفاده از اعتماد
به‌صورت پیش‌فرض، اندروید می‌تواند در مورد نصب برنامه‌های دانلود شده از خارج از Google Play Store هشدار دهد و از نصب آن‌ها جلوگیری کند. برای غلبه بر این محدودیت، بدافزار می‌تواند صفحه به‌روزرسانی جعلی Google Play را نمایش دهد تا کاربر فریب خورده و برنامه ناشناس را نصب کند.

اگر کاربر فریب خورده و ClayRat را نصب کند، بدافزار درخواست مجوزهای پیامکی (SMS privileges) را می‌کند. پس از دریافت این مجوزها، بدافزار می‌تواند کنترل پیام‌های متنی را به دست گرفته و به تمام مخاطبین تلفن پیام ارسال کند. این پیام‌های ارسالی شامل یک پیام متنی با عبارت روسی “به معنای “اولین نفر باش که می‌فهمی!” به همراه یک لینک مخرب است که برای فریب بیشتر کاربران برای نصب بدافزار طراحی شده است.

به گفته Zimperium از آنجایی که این پیام‌ها به نظر می‌رسد از یک منبع مورد اعتماد ارسال شده‌اند، احتمال کلیک کردن گیرندگان روی لینک، پیوستن به همان کانال تلگرام یا بازدید از همان سایت فیشینگ بسیار بیشتر است. بنابراین، هر دستگاه آلوده به یک گره توزیع تبدیل می‌شود و باعث گسترش تصاعدی بدافزار بدون نیاز به زیرساخت جدید، می‌شود.

Zimperium نام این بدافزار را ClayRat گذاشته است؛ زیرا سازنده آن در صورت تلاش برای ورود به سرور فرماندهی و کنترل (Command-and-control server) بدافزار، این نام را نمایش می‌دهد. این شرکت یافته‌های خود را با گوگل به اشتراک گذاشته است و اعلام کرده که این همکاری اطمینان می‌دهد که کاربران اندروید نیز به‌طور خودکار در برابر نسخه‌های شناخته‌شده ClayRat از طریق Google Play Protect، که سرویس پیشگیری از بدافزار داخلی در گوشی‌های اندرویدی است، محافظت می‌شوند.