Serangan siber seluler memasuki fase yang lebih canggih dan berbahaya: Tikus Tanah Liat Ini adalah spyware untuk Android yang menyamarkan dirinya sebagai aplikasi yang sudah dikenal seperti WhatsApp o Tiktok untuk mencuri data dan menyebarkannya di antara kontak.
Menurut para peneliti dari Zimperium, operasinya tumbuh dengan kecepatan yang baik dan sudah terakumulasi lebih dari 600 sampel dan 50 penetes, didistribusikan melalui Saluran dan situs Telegram yang berpura-pura resmi, termasuk Toko TikTok palsuKarena jangkauan dan rekayasa sosialnya, ini adalah kampanye yang sangat aktif.
Apa itu ClayRat dan mengapa ia menyamar sebagai aplikasi populer?
Dinamakan berdasarkan infrastruktur komando dan kontrolnya, Tikus Tanah Liat menggabungkan pencurian identitas dengan phishing tingkat lanjutPara penyerang meningkatkan portal yang meniru tampilan Google Play atau dari halaman WhatsApp, TikTok, YouTube, atau Google Foto, dengan petunjuk untuk menginstal APK secara manual.
Situs web ini menunjukkan ulasan palsu, penghitung unduhan yang digelembungkan, dan komentar yang dibuat-buat untuk membangkitkan rasa percaya diri. Kaitannya diperkuat dengan dugaan versi "Lebih"atau versi "premium" dari aplikasi populer, padahal kenyataannya pengguna mengizinkan pemasangan spyware.
Rantai infeksi: instalasi dan dropper "per sesi"
Salah satu kelebihannya adalah metode instalasinya berbasis sesi bahwa mengurangi peringatan yang terlihat dan membantu melewati batasan yang diperkenalkan di Android 13 dan versi yang lebih baru, meniru alur aplikasi yang sah. Teknik-teknik ini berbeda dengan peningkatan keamanan yang dibawa oleh versi-versi seperti Android 13 dan versi yang lebih baru.
Banyak varian bertindak sebagai pipet: menunjukkan layar pembaruan Play Store palsu saat mengunduh dan berjalan di latar belakang muatan terenkripsiMalware tersebut kemudian bersembunyi di antara proses sistem, menunggu untuk terhubung ke server jarak jauhnya. Mekanisme ini mengingatkan kita pada ancaman lain seperti dropper dan Trojan seluler.
Apa yang dapat Anda lakukan saat berada di dalam telepon
Setelah perangkat terinfeksi, ClayRat meminta izin sensitif (SMS, kontak, kamera dan mikrofon) dan mencoba jadilah aplikasi SMS defaultDengan ini, Anda bisa menyadap, membaca, dan mengubah pesan sebelum mencapai aplikasi lain, risiko yang merupakan bagian dari risiko malware seluler.
Selain itu, spyware juga mampu eksfiltrasi SMS, menangkap notifikasi, memeriksa log panggilan, mengambil foto dengan kamera depan dan bahkan memulai panggilan atau mengirim pesan tanpa campur tangan pengguna.
- dapatkan_daftar_aplikasi: mengirimkan daftar aplikasi yang terinstal.
- menerima panggilan: Kumpulkan log panggilan dari perangkat.
- dapatkan_kamera: Ambil foto dengan kamera depan dan unggah ke server.
- dapatkan_daftar_sms / pesan_pesan: Mencuri SMS atau mengirim surat massal untuk disebarkan.
- kirim_sms / buat_panggilan: Melakukan panggilan atau mengirim pesan dari nomor korban.
- dapatkan_info_perangkat: Mendapatkan data dari perangkat dan jaringan.
- dapatkan_data_proxy: mengubah lalu lintas HTTP/HTTPS menjadi Terowongan WebSocket untuk menyamarkan komunikasi.
Untuk komunikasi, ClayRat menggunakan Enkripsi AES-GCM y transmisi data terfragmentasi untuk mempersulit deteksi. Fungsi proxy memungkinkan lalu lintas C2 disembunyikan di balik Terowongan berbasis WebSocket.
Kampanye ini juga memanfaatkan propagasi otomatis:Setiap ponsel yang disusupi dieksploitasi sebagai simpul distribusi yang meneruskan tautan berbahaya melalui SMS ke seluruh daftar kontak, sehingga melipatgandakan jangkauan serangan.
Cakupan kampanye dan respons industri
Dalam beberapa bulan terakhir, Zimperium telah mengidentifikasi lebih dari 600 sampel dan sekitar 50 penetes berbeda, sebuah volume yang menunjukkan operasi yang terus berkembang. Beberapa laporan menempatkan aktivitas tersebut pada awalnya dengan insiden tertinggi di Rusia, dengan potensi untuk berekspansi ke negara lain.
Indikator kompromi telah dibagikan dengan Google dan Mainkan Lindungi ya blok varian yang diketahui. Meskipun demikian, para ahli menekankan bahwa kampanye ini masih aktif dan pertahanan terbaik adalah menghindari instalasi dari tautan eksternal atau saluran Telegram.
Cara meminimalkan risiko
Rekomendasi utamanya sederhana: Jangan menginstal APK dari sumber yang tidak dikenalWaspadalah terhadap versi yang disebut "Plus" atau "premium" dari aplikasi populer dan hindari mengikuti tautan unduhan di media sosial atau pesan.
- Jaga agar sistem tetap diperbarui dan aktif Google Play Protect untuk pemindaian berkelanjutan.
- Periksa secara berkala izin dari aplikasi (SMS, kamera, mikrofon, kontak) dan mencabut yang tidak diperlukan.
- Periksa aplikasi mana yang SMS bawaan dan mengembalikan yang resmi jika terjadi perubahan tanpa persetujuan Anda.
- Perhatikan tanda-tanda peringatan: pesan keluar yang tidak sah, lonjakan baterai atau data, dan perilaku aneh.
- Gunakan solusi dari keamanan seluler bereputasi baik dalam mendeteksi dropper dan aktivitas C2.
Jika Anda mencurigai adanya infeksi, hal yang paling efektif adalah putuskan sambungan perangkat, buat salinan dari apa yang penting, pengaturan ulang pabrik dan menginstal ulang hanya aplikasi dari Google PlayUbah kata sandi dan aktifkan verifikasi dua langkah untuk layanan penting.
ClayRat telah menunjukkan bagaimana spyware dapat meniru WhatsApp dan TikTok Untuk melanggar kepercayaan pengguna, menghindari pertahanan Android terkini, dan memanfaatkan korban itu sendiri sebagai platform untuk serangan, kehati-hatian ekstrem terhadap sumber dan izin unduhan, saat ini, merupakan penghalang yang paling efektif.
