Um novo software espião se esconde em aplicativos falsos que imitam apps populares, como WhatsApp, TikTok e YouTube. A firma de cibersegurança Zimperium aponta ter documentado mais de 600 amostras do agente malicioso ClayRat nos últimos três meses, indicando ser uma campanha massiva.
O spyware mira primordialmente alvos que usam smartphones em sistema operacional Android na Rússia. Todo o esquema é feito para as vítimas pensarem que essa é uma aplicação legítima, se escondendo em portais de phishing bem elaboradores e sites com registros bem parecidos com os originais.
smart_display
Nossos vídeos em destaque
Para parecerem mais legítimos, os sites até mesmo incluem o logotipo da Play Store e avaliações de outros usuários. Ao clicar para baixar os apps, os usuários são direcionados para canais do Telegram, que baixam os pacotes APK maliciosos e solicitam para as vítimas removerem o bloqueio padrão dos smartphones à instalação de fontes desconhecidas.
Spyware ClayRat também se esconde em falsas atualizações de aplicativos (Imagem: Zimperium/reprodução)
Com tudo isso feito, a instalação é finalmente concluída, e o usuário nem vai perceber que inseriu em seu smartphone uma aplicação maliciosa. Então, o ClayRat começará suas operações de roubo de dados.
Segundo os pesquisadores da agência, o ClayRat atua como um dropper, ou seja, um malware que serve para depositar outros agentes mal-intencionados no dispositivo. Esse método de ataque torna o ClayRat mais difícil de detecção e faz com que ele seja uma porta aberta para diversos tipos de spyware entrarem na máquina.
O spyware assume a forma de um app que interpreta mensagens SMS, lendo-as antes de outros apps e as modificando;
Por ter acesso aos SMS, o software também consegue se propagar ao enviar mensagens infectadas para a lista de contatos da vítima;
Esse spyware faz contato com um servidor C2 do atacante e recebe um de 12 comandos possíveis;
Alguns desses comandos permitem que o aplicativo espião até mesmo tire fotos arbitrariamente com a câmera frontal do smartphone;
Os comandos também podem servir para roubar informações sigilosas do dispositivo.
A Zimperium compartilhou as informações do ClayRat com o Google, e agora a Play Store bloqueia variantes conhecidas do spyware. Vale alertar que apps como o WhatsApp, YouTube e TikTok devem ser baixados somente via o aplicativo oficial da loja do Android, então qualquer outro método possivelmente se trata de um vírus ou malware.
Para mais informações sobre spywares, campanhas maliciosas e como se proteger na internet, fique de olho no site do TecMundo.
Perguntas Frequentes
O que é o spyware ClayRat e como ele funciona?keyboard_arrow_down
O ClayRat é um software espião que se disfarça de aplicativos populares como WhatsApp, TikTok e YouTube para enganar usuários e roubar dados. Ele atua como um dropper, ou seja, um tipo de malware que instala outros programas maliciosos no dispositivo infectado. Após a instalação, o ClayRat pode executar até 12 comandos diferentes, incluindo ler e modificar mensagens SMS, tirar fotos com a câmera frontal e roubar informações sigilosas.
Como o ClayRat se espalha entre os usuários?keyboard_arrow_down
O spyware se espalha por meio de sites de phishing que imitam páginas legítimas, incluindo logotipos da Play Store e avaliações falsas. Ao tentar baixar o aplicativo, o usuário é redirecionado para canais do Telegram que fornecem arquivos APK maliciosos. Esses arquivos exigem que o usuário desative a proteção contra instalação de fontes desconhecidas, facilitando a infecção do dispositivo.
Quais são os riscos de instalar o ClayRat no celular?keyboard_arrow_down
Uma vez instalado, o ClayRat pode acessar e modificar mensagens SMS, se comunicar com servidores dos atacantes e executar comandos que incluem tirar fotos sem permissão e roubar dados confidenciais. Além disso, ele pode enviar mensagens infectadas para os contatos da vítima, ajudando a se propagar ainda mais.
Por que o ClayRat é difícil de detectar?keyboard_arrow_down
O ClayRat é difícil de detectar porque se disfarça como um aplicativo legítimo e atua como dropper, instalando outros malwares no dispositivo. Isso permite que ele funcione como uma porta de entrada para diferentes tipos de ataques, dificultando a identificação e remoção do spyware.
Quais sistemas operacionais são mais visados pelo ClayRat?keyboard_arrow_down
O ClayRat tem como alvo principal dispositivos com sistema operacional Android, especialmente aqueles utilizados na Rússia. A campanha maliciosa foi considerada massiva, com mais de 600 amostras detectadas nos últimos três meses.
Como posso me proteger contra o ClayRat e outros spywares?keyboard_arrow_down
Para se proteger, é essencial baixar aplicativos apenas pela loja oficial do Android, a Google Play Store. Evite instalar arquivos APK de fontes desconhecidas e desconfie de sites que imitam páginas oficiais. Além disso, mantenha o sistema operacional e os aplicativos sempre atualizados e utilize soluções de segurança confiáveis.
O que a Google fez em relação ao ClayRat?keyboard_arrow_down
A empresa de cibersegurança Zimperium compartilhou informações sobre o ClayRat com o Google, que passou a bloquear variantes conhecidas do spyware na Play Store. Isso ajuda a reduzir o risco de infecção por meio da loja oficial de aplicativos.
){kind=small}
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
