ClayRat-Spyware

Eine sich rasant entwickelnde Android-Spyware-Kampagne namens ClayRat hat sich zu einer erheblichen Bedrohung für Nutzer entwickelt, insbesondere in Russland. Angreifer nutzen eine Kombination aus Telegram-Kanälen und Phishing-ähnlichen Websites und geben sich als beliebte Anwendungen wie WhatsApp, Google Fotos, TikTok und YouTube aus, um Opfer zur Installation der Malware zu verleiten.

Wie sich ClayRat verbreitet

Die Angriffskette beginnt, wenn ahnungslose Benutzer auf betrügerische Websites umgeleitet werden, die auf von den Angreifern kontrollierte Telegram-Kanäle verweisen. Hier werden die Opfer dazu verleitet, schädliche APK-Dateien herunterzuladen:

• Künstlich aufgeblähte Downloadzahlen
• Gefälschte Erfahrungsberichte, die die Popularität der App behaupten

Einige bösartige Websites geben vor, verbesserte Versionen beliebter Apps wie YouTube Plus anzubieten, und hosten APK-Dateien, die darauf ausgelegt sind, Sicherheitsmaßnahmen auf Geräten mit Android 13 und höher zu umgehen.

Bestimmte ClayRat-Samples fungieren als Dropper und präsentieren eine schlanke App mit einem gefälschten Play Store-Update-Bildschirm. Die eigentliche Nutzlast ist verschlüsselt und in den Assets der App versteckt. Dadurch kann die Malware Plattformbeschränkungen umgehen und die Installationsrate erhöhen.

Bösartige Fähigkeiten

Nach der Installation aktiviert ClayRat eine Reihe aufdringlicher Funktionen:

• Exfiltriert SMS-Nachrichten, Anrufprotokolle, Benachrichtigungen und Geräteinformationen
• Nimmt Fotos mit der Frontkamera auf
• Sendet SMS-Nachrichten oder tätigt Anrufe direkt vom infizierten Gerät
• Erstellt eine Liste aller installierten Anwendungen und sendet sie an den Command-and-Control (C2)-Server

Die Malware verbreitet sich außerdem aggressiv, indem sie bösartige Links an jeden Kontakt im Telefonbuch des Opfers sendet und so kompromittierte Geräte effektiv in automatisierte Verteilungsknoten verwandelt.

Technische Raffinesse

Sicherheitsforscher haben in den letzten 90 Tagen über 600 Samples und 50 Dropper von ClayRat beobachtet. Jede neue Iteration fügt zusätzliche Verschleierungsebenen hinzu und erschwert so die Erkennung.

Die Kommunikation mit der C2-Infrastruktur basiert auf Standard-HTTP-Protokollen. Die Malware fordert Benutzer auf, die C2-Infrastruktur als Standard-SMS-Anwendung zu aktivieren, um Zugriff auf vertrauliche Inhalte und Messaging-Funktionen zu erhalten. Diese Funktionen ermöglichen es Angreifern, Überwachungsmaßnahmen durchzuführen und die Reichweite der Malware ohne manuelle Eingriffe zu erweitern.

Schutzmaßnahmen

Trotz seiner Wirksamkeit wird ClayRat durch Google Play Protect abgeschwächt, das auf Geräten mit Google Play Services standardmäßig aktiviert ist. Play Protect schützt Benutzer automatisch vor bekannten Versionen der Malware.

ClayRat stellt eine doppelte Bedrohung dar: Es spioniert Opfer aus und verwandelt deren Geräte gleichzeitig in Werkzeuge zur weiteren Verbreitung von Malware. Die Kombination aus Social Engineering, fortschrittlichen Umgehungstechniken und automatisierter Verbreitung macht es zu einem ernstzunehmenden Gegner in der Android-Bedrohungslandschaft.