Исследователи Zimperium зафиксировали масштабную кампанию распространения Android-шпиона ClayRat, ориентированную преимущественно на пользователей в России.
Подробный разбор атак и образцов опубликован в блоге Zimperium.
Мошенники маскируют вирус под популярные приложения - от WhatsApp и YouTube до «улучшенных» версий Google Photos, а также рассылают ссылки через Telegram-каналы и фишинговые сайты.
Посетитель попадает на поддельную страницу, видит подсказки по «установке обновления» и, часто не заметив подвоха, сам инсталлирует APK. После этого телефон превращается в орудие шпионажа и рассылки:
Отдельно стоит опасность самораспространения. Заражённое приложение может запросить роль «приложения по умолчанию для SMS» и затем автоматически разослать каждому контакту из адресной книги ссылку (сообщение «Узнай первым! »). Получатели, доверяя отправителю, с большой вероятностью перейдут по ссылке и установят тот же APK.
Zimperium зафиксировала более 600 образцов и свыше 50 «дропперов» за несколько месяцев; каждый новый вариант лучше прячется от детекторов.
Подробный разбор атак и образцов опубликован в блоге Zimperium.

Мошенники маскируют вирус под популярные приложения - от WhatsApp и YouTube до «улучшенных» версий Google Photos, а также рассылают ссылки через Telegram-каналы и фишинговые сайты.
Посетитель попадает на поддельную страницу, видит подсказки по «установке обновления» и, часто не заметив подвоха, сам инсталлирует APK. После этого телефон превращается в орудие шпионажа и рассылки:
- ClayRat умеет красть SMS,
- журналы вызовов и уведомления,
- делать снимки на фронтальную камеру,
- а также отправлять сообщения и звонить от имени жертвы.
Отдельно стоит опасность самораспространения. Заражённое приложение может запросить роль «приложения по умолчанию для SMS» и затем автоматически разослать каждому контакту из адресной книги ссылку (сообщение «Узнай первым! »). Получатели, доверяя отправителю, с большой вероятностью перейдут по ссылке и установят тот же APK.
Zimperium зафиксировала более 600 образцов и свыше 50 «дропперов» за несколько месяцев; каждый новый вариант лучше прячется от детекторов.
Для просмотра ссылки необходимо нажать
Вход или Регистрация