详细内容或原文请订阅后点击阅览
ClayRat 活动利用 Telegram 和网络钓鱼网站分发 Android 间谍软件
ClayRat Android 间谍软件通过假冒 Telegram 频道和冒充 WhatsApp 和 YouTube 等流行应用程序的网络钓鱼网站来瞄准俄罗斯用户。 ClayRat Android 间谍软件活动通过虚假 Telegram 频道和网络钓鱼网站,冒充 Google Photos、WhatsApp、TikTok、YouTube 等流行应用程序,针对俄罗斯用户。 Zimperium 根据其 C2 服务器将间谍软件 ClayRat 命名为 [...]
来源:Security Affairs _恶意软件ClayRat 活动利用 Telegram 和网络钓鱼网站分发 Android 间谍软件
ClayRat Android 间谍软件通过假冒 Telegram 频道和冒充 WhatsApp 和 YouTube 等流行应用程序的网络钓鱼网站来瞄准俄罗斯用户。
ClayRat Android 间谍软件活动通过虚假的 Telegram 频道和网络钓鱼网站冒充 Google Photos、WhatsApp、TikTok、YouTube 等流行应用程序来针对俄罗斯用户。
Zimperium 根据其 C2 服务器将间谍软件 ClayRat 命名为 ClayRat,该服务器提供一个标有该名称的登录表单。
Zimperium 研究人员在三个月内观察了 600 多个样本和 50 多个植入程序,每个植入程序都添加了混淆和打包以逃避检测。该恶意软件还滥用 Android 的默认短信处理程序来绕过权限提示并秘密访问敏感数据。
“ClayRat 构成了严重威胁,不仅因为其广泛的监视功能,还因为它滥用 Android 的默认短信处理程序角色。” Zimperium 发表的报告中写道。 “这种技术允许它绕过标准运行时权限提示并在不发出警报的情况下访问敏感数据。”
报告ClayRat 通过社会工程和网络欺骗的协调组合进行传播,利用用户信任。攻击者使用 Telegram 频道和钓鱼网站模仿 YouTube 或 GdeDPS 等合法服务来托管虚假 APK,并提供绕过 Android 警告的分步安装指南。
Telegram 频道充斥着虚假评论和夸大的统计数据,扩大了影响力和持久性。
Android 恶意软件还通过使用虚假 APK 模仿流行应用程序的网络钓鱼网站进行传播。一些样本充当滴管,在隐藏有效负载的同时显示虚假的更新屏幕。安装后,它会自动向所有联系人发送恶意短信,将每个设备变成一个分发节点。
该活动结合了冒充、Telegram 频道、虚假用户体验流和自我传播,迅速发展并有效针对非技术用户。
@securityaffairs 脸书 乳齿象皮尔路易吉·帕格尼尼