Исследователи Zimperium сообщили о возвращении Android-трояна ClayRat, который из простого похитителя данных превратился в полноценный инструмент слежки. Впервые обнаруженный в октябре 2024 года, он тогда крал лишь СМС и историю звонков, но, по данным zLabs, новая версия получила заметно расширенные возможности.
Главным изменением стало использование системных функций Android, созданных для людей с ограниченными возможностями. Злоумышленники всё чаще применяют их как универсальный доступ ко всему интерфейсу устройства. Благодаря этому ClayRat теперь фиксирует нажатия клавиш, перехватывает ПИН-коды и пароли и даже может автоматически обходить блокировку экрана.
Особую опасность представляет новая защитная тактика вредоноса. При попытке пользователя удалить приложение ClayRat блокирует нажатия и имитирует собственные «тапы» по системным кнопкам, мешая выключить смартфон или удалить само приложение. Одновременно троян показывает поддельные оверлеи — например, «обновление системы», — скрывая происходящее на экране.
Для распространения ClayRat маскируется под популярные сервисы: видеоплатформы, мессенджеры и региональные приложения вроде такси или парковки. Исследователи обнаружили более 25 фальшивых доменов, среди которых поддельные версии «YouTube Pro» и «Car Scanner ELM». Дополнительно злоумышленники используют Dropbox для распространения APK-файлов и обхода фильтрации.
Получив доступ к смартфону, ClayRat может записывать экран через MediaProjection API, перехватывать и подменять ответы на уведомления, что облегчает кражу одноразовых кодов и вмешательство в переписку. По оценке Zimperium, обновлённый ClayRat стал значительно опаснее предыдущей версии и демонстрирует быстрый рост возможностей мобильных угроз. Впервые в России он был замечен ещё в октябре, когда маскировался под WhatsApp*, TikTok, Google Photos и YouTube.
*Meta признана экстремистской организацией и запрещена в России.
Источник: Anti-Malware.ru
Рекомендуем также: