Bezpečnostní experti upozorňujú, že najnovšia podoba škodlivého softvéru ClayRat prináša zásadné vylepšenia, proti ktorým väčšina používateľov prakticky nemá obranu. Tento spyware zameraný na Android sa oproti starším verziám výrazne posunul – už nejde len o jednoduchý nástroj na kradnutie SMS či fotografovanie obete.
Podľa výskumníkov zo spoločnosti Zimperium dokáže nová verzia manipulovať s nastaveniami prístupnosti, čo mu poskytuje oveľa širší priestor pre škodlivé aktivity. Malvér zaznamenáva všetky dáta používané pri odomykaní mobilu – PIN, heslá či odomykanie gestami. Následne dokáže zariadenie odomknúť sám, takže útočník sa okamžite dostane k obsahu telefónu. Prostredníctvom API MediaProjection môže tajne snímať dianie na obrazovke, čiže sleduje každú aktivitu vrátane prístupu k citlivým informáciám.
Ďalším prvkom útoku je zobrazovanie prekryvných obrazoviek. Tieto vrstvy môžu imitovať systémovú aktualizáciu alebo vypnutú obrazovku, aby používateľ nemohol reagovať alebo proces zastaviť. Malvér dokáže dokonca stláčať systémové tlačidlá, čím zabraňuje svojmu vypnutiu či odinštalovaniu. Okrem toho vytvára falošné upozornenia a spracuváva odpovede používateľa, čo mu umožňuje získavať citlivé údaje bez toho, aby si obeť čokoľvek všimla.
Šírenie cez phishing aj cloudové úložiská
ClayRat sa maskuje ako legitímne aplikácie – od známych komunikačných platforiem až po lokálne služby typu taxi aplikácií či parkovania. Najčastejším vektorom šírenia zostáva phishing, no výskumníci ho identifikovali aj na cloudových službách ako Dropbox. Zaznamenali viac ako 700 odlišných APK balíkov.
Malvér využíva tzv. dropper techniku: škodlivá časť aplikácie je ukrytá v assets priečinku, šifrovaná pomocou AES/CBC algoritmu. Po spustení aplikácie sa obsah dešifruje. ClayRat následne žiada prístup ako predvolená SMS aplikácia, a keď získava aj povolenia k prístupnosti, automaticky vypne Google Play Protect, aby odstránil základnú ochranu systému.
Špeciálne schopnosti pri manipulácii so zamykacou obrazovkou
Najnebezpečnejším prvkom je schopnosť sledovať akýkoľvek vstup počas zadávania hesla. ClayRat sleduje dotyky, zmeny na obrazovke aj zadávané znaky, ktoré potom ukladá a dokáže pomocou nich zariadenie sám odomknúť. Dokumentácia odborníkov z Zimperium uvádza, že malvér dokáže dešifrovať heslá zo správania používateľa pri zadávaní alebo pohybe po displeji.
Do pozornosti sa dostáva aj schopnosť pracovať s notifikáciami. ClayRat generuje vlastné upozornenia, ktoré pôsobia dôveryhodne, pritom zachytáva reakcie používateľa. Dokáže tiež zhromaždiť všetky existujúce upozornenia na zariadení. Zároveň disponuje celým zoznamom príkazov – od posielania SMS a telefonovania, cez otváranie aplikácií až po spustenie vzdialenej VNC relácie, ktorá umožní útočníkovi úplný prístup k zariadeniu.
ClayRat cieli práve na tie funkcie, ktoré zohrávajú kľúčovú úlohu pri firemných procesoch – notifikácie, overovacie kódy, prácu s aplikáciami a uzamknuté obrazovky. V prostredí BYOD (kde si zamestnanci nosia vlastné zariadenia) môže napadnutý telefón ohroziť celú korporátnu infraštruktúru. Môže napríklad ukradnúť MFA kódy, sledovať firemné služby alebo prenášať citlivé údaje mimo organizáciu.
Mimoriadne nebezpečná je schopnosť automatizovať finančné transakcie. ClayRat kombinuje ovládanie používateľského rozhrania (kliknutia a gestá) so zachytávaním SMS kódov a vizuálnym maskovaním činnosti. Útočník tak môže bez prítomnosti používateľa otvoriť bankovú aplikáciu, prihlásiť sa, poslať peniaze a použiť overovací kód, zatiaľ čo obeť vidí len simulovanú obrazovku „aktualizácie systému“. Z pohľadu odborníkov ide o jeden z momentálne najefektívnejších nástrojov na tzv. On-Device Fraud.
Ako sa chrániť
Analytici zdôrazňujú, že jedinou reálnou obranou je dôveryhodný bezpečnostný softvér. Používatelia by mali minimalizovať riziko inštaláciou aplikácií výlučne z overených zdrojov, ideálne z oficiálnych obchodov. Ani tie však neponúkajú stopercentnú záruku bezpečnosti. Pomáha tiež kontrola hodnotení a recenzií pred inštaláciou akejkoľvek aplikácie.
