La campagna spyware ClayRat si sta espandendo rapidamente e prende di mira sempre più gli utenti Android. Secondo Zimperium, il malware si sta diffondendo attivamente tra gli utenti russi attraverso falsi siti web e canali Telegram, camuffandosi da app popolari come WhatsApp, TikTok, YouTube e Google Foto.

Una volta installato, il malware ottiene l’accesso a un’ampia gamma di funzioni, tra cui la lettura di SMS e notifiche, la visualizzazione dell’elenco delle app installate, lo scatto di foto con la fotocamera frontale, l’effettuazione di chiamate e l’invio di messaggi.

La caratteristica principale di ClayRat è il suo aggressivo meccanismo di autopropagazione. Il malware invia automaticamente link dannosi a tutti i contatti della vittima, trasformando il dispositivo infetto in un hub di distribuzione attivo. Ciò consente ai creatori della campagna di scalare rapidamente i loro attacchi senza l’intervento umano.

Negli ultimi 90 giorni, gli specialisti hanno identificato almeno 600 campioni di spyware unici e circa 50 downloader. Ogni nuova versione include ulteriori livelli di stealth, consentendo di aggirare i meccanismi di difesa.

La distribuzione inizia tramite siti web falsi che reindirizzano le vittime ai canali Telegram controllati dagli aggressori. Questi canali offrono file APK dannosi con presunte alte percentuali di download e recensioni positive. Di particolare rilievo è la falsa app “YouTube Plus” con “funzionalità premium”, che può essere installata anche su dispositivi con Android 13 o versioni successive, nonostante le limitazioni integrate nella piattaforma.

Alcune versioni di ClayRat si mascherano da app legittime e agiscono esclusivamente come programmi di installazione. Sullo schermo viene visualizzata una finta finestra di aggiornamento di Google Play, mentre il codice dannoso crittografato è nascosto nelle risorse interne dell’app. Questo approccio abbassa la guardia dell’utente e aumenta la probabilità di un’infezione riuscita. Una volta attivato, il malware richiede l’autorizzazione per essere impostato come app SMS predefinita, ottenendo pieno accesso a messaggi e notifiche.

ClayRat utilizza richieste HTTP standard per comunicare con l’infrastruttura di controllo e può trasmettere informazioni dettagliate sul dispositivo. Le sue funzioni includono anche l’acquisizione di foto, l’invio di un elenco delle applicazioni installate e la gestione delle chiamate. Il potenziale pericolo di questo malware non risiede solo nelle sue capacità di spionaggio, ma anche nella sua capacità di trasformare un dispositivo infetto in uno strumento di distribuzione automatizzata, il che ne complica notevolmente il contenimento.

Secondo Google, le versioni attive di ClayRat sono già bloccate sui dispositivi che eseguono Google Play Services grazie a Play Protect. Tuttavia, gli aggressori continuano ad adattarsi e la minaccia rimane rilevante.

Nel frattempo, i ricercatori dell’Università del Lussemburgo e dell’Università Cheikh Anta Diop hanno esaminato le app preinstallate sugli smartphone Android economici venduti in Africa. Dei 1.544 file APK analizzati, 145 hanno esposto dati sensibili, 249 hanno fornito accesso non protetto a componenti critici e 226 hanno eseguito comandi con privilegi elevati. Ciò indica una vulnerabilità di sistema su questi dispositivi e ulteriori rischi per gli utenti.

L'articolo ClayRat: lo spyware che colpisce gli utenti Android con propagazione autonoma proviene da Red Hot Cyber.