Новий Android вірус маскується під WhatsApp та YouTube

Фахівці з кібербезпеки виявили новий Android-вірус під назвою ClayRat, який маскується під популярні додатки What­sApp та YouTube.

ClayRat здатний красти SMS-повідомлення, журнали викликів, сповіщення, робити фотографії через камеру пристрою та здійснювати дзвінки від імені жертви без її відома. Така функціональність робить вірус особливо небезпечним для приватності користувачів, оскільки він отримує практично повний контроль над комунікаційними можливостями смартфона.

Зловмисники використовують фішингові сайти, які імітують легальні сервіси, щоб заманити жертв. Користувачі переходять за посиланнями в Telegram-каналах і завантажують шкідливі APK-файли, які видають за оновлення Play Store. Для обходу обмежень операційної системи, починаючи з Android 13, хакери використовують метод установки “на основі сеансу”, що дозволяє обійти стандартні захисні механізми.

Після встановлення ClayRat стає обробником SMS за замовчуванням, що дає йому можливість відправляти масові повідомлення контактам жертви та збирати детальну інформацію про пристрій. Нові версії шкідливого програмного забезпечення захищені шифруванням AES-GCM, що ускладнює їх виявлення та аналіз антивірусними програмами.

Компанія Zim­peri­um, яка входить до Альянсу із захисту додатків (App Defense Alliance), повідомила про проблему Google, що призвело до блокування відомих та нових варіантів вірусу через систему Play Pro­tect. Проте хакерська кампанія виявилася масштабною: за три місяці було виявлено понад 600 випадків зараження, що свідчить про активне поширення загрози серед Android-користувачів.