Um novo software espião se esconde em aplicativos falsos que imitam apps populares, como WhatsApp, TikTok e YouTube. A firma de cibersegurança Zimperium aponta ter documentado mais de 600 amostras do agente malicioso ClayRat nos últimos três meses, indicando ser uma campanha massiva.
O spyware mira primordialmente alvos que usam smartphones em sistema operacional Android na Rússia. Todo o esquema é feito para as vítimas pensarem que essa é uma aplicação legítima, se escondendo em portais de phishing bem elaboradores e sites com registros bem parecidos com os originais.
Para parecerem mais legítimos, os sites até mesmo incluem o logotipo da Play Store e avaliações de outros usuários. Ao clicar para baixar os apps, os usuários são direcionados para canais do Telegram, que baixam os pacotes APK maliciosos e solicitam para as vítimas removerem o bloqueio padrão dos smartphones à instalação de fontes desconhecidas.
Com tudo isso feito, a instalação é finalmente concluída, e o usuário nem vai perceber que inseriu em seu smartphone uma aplicação maliciosa. Então, o ClayRat começará suas operações de roubo de dados.
ClayRat deposita outros malwares no celular
Segundo os pesquisadores da agência, o ClayRat atua como um dropper, ou seja, um malware que serve para depositar outros agentes mal-intencionados no dispositivo. Esse método de ataque torna o ClayRat mais difícil de detecção e faz com que ele seja uma porta aberta para diversos tipos de spyware entrarem na máquina.
- O spyware assume a forma de um app que interpreta mensagens SMS, lendo-as antes de outros apps e as modificando;
- Por ter acesso aos SMS, o software também consegue se propagar ao enviar mensagens infectadas para a lista de contatos da vítima;
- Esse spyware faz contato com um servidor C2 do atacante e recebe um de 12 comandos possíveis;
- Alguns desses comandos permitem que o aplicativo espião até mesmo tire fotos arbitrariamente com a câmera frontal do smartphone;
- Os comandos também podem servir para roubar informações sigilosas do dispositivo.
A Zimperium compartilhou as informações do ClayRat com o Google, e agora a Play Store bloqueia variantes conhecidas do spyware. Vale alertar que apps como o WhatsApp, YouTube e TikTok devem ser baixados somente via o aplicativo oficial da loja do Android, então qualquer outro método possivelmente se trata de um vírus ou malware.
Para mais informações sobre spywares, campanhas maliciosas e como se proteger na internet, fique de olho no site do TecMundo.