🛡 概要
ClayRatは、WhatsAppやGoogle Photos、TikTok、YouTubeなどの人気アプリを装って潜在的な犠牲者を狙う新しいAndroidスパイウェアです。このマルウェアは、ロシアのユーザーをターゲットにしており、Telegramチャンネルや見た目が正当な悪意のあるウェブサイトを通じて拡散されています。SMSメッセージや通話履歴、通知を盗み、写真を撮影し、さらには電話をかけることも可能です。モバイルセキュリティ企業Zimperiumの研究者によると、過去3ヶ月で600以上のサンプルと50の異なるドロッパーが記録されており、攻撃者の積極的な活動が示唆されています。
🔍 技術詳細
ClayRatキャンペーンは、マルウェアのコマンド&コントロール(C2)サーバーにちなんで名付けられています。このキャンペーンでは、正当なサービスページに非常に似たフィッシングポータルや登録ドメインが使用されます。これらのサイトは、無防備な犠牲者にAndroidパッケージファイル(APK)を提供するTelegramチャンネルにリダイレクトします。Zimperiumによると、一部のClayRatサンプルはドロッパーとして機能し、ユーザーが見るアプリは偽のPlayストア更新画面であり、暗号化されたペイロードはアプリの資産に隠されています。最新のバージョンでは、C2との通信はAES-GCMで暗号化されており、12のサポートコマンドを受け取ります。
⚠ 影響
ClayRatは、感染したデバイスのデフォルトSMSハンドラーとして機能し、すべてのSMSメッセージを読み取ることができます。これにより、他のアプリの前にSMSを傍受し、SMSデータベースを変更することが可能です。スパイウェアは、感染したデバイスでの通信を確立し、C2からの指示に従って、インストールされたアプリのリストや通話履歴、カメラ写真を送信します。Zimperiumは、Googleと連携してClayRatスパイウェアのIoCを共有し、Play Protectが既知および新しいバリアントをブロックしていますが、キャンペーンは非常に大規模であり、3ヶ月で600以上のサンプルが記録されています。
🛠 対策
ClayRatの拡散を防ぐためには、信頼できないソースからのアプリのインストールを避けることが重要です。特に、APKファイルを直接ダウンロードする際には、正当なウェブサイトであることを確認する必要があります。また、デバイスのセキュリティ設定を見直し、未知のアプリからのインストールを禁止することが推奨されます。さらに、定期的なセキュリティソフトウェアの更新と使用を行い、リアルタイムでの脅威検出を強化することが重要です。
