📰 Informação fresquinha chegando para você!
A notÃcia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um novo spyware para Android chamado ClayRat está atraindo vÃtimas em potencial, fazendo-se passar por aplicativos e serviços populares como WhatsApp, Google Fotos, TikTok e YouTube.
O malware tem como alvo usuários russos por meio de canais do Telegram e sites maliciosos que parecem legÃtimos. Ele pode roubar registros de chamadas de mensagens SMS, notificações, tirar fotos e até fazer chamadas.
Pesquisadores de malware da empresa de segurança móvel Zimperium afirmam ter documentado mais de 600 amostras e 50 droppers distintos nos últimos três meses, indicando um esforço ativo do invasor para amplificar a operação.
Campanha ClayRat
A campanha ClayRat, batizada em homenagem ao servidor de comando e controle (C2) do malware, usa portais de phishing cuidadosamente elaborados e domÃnios registrados que imitam páginas de serviços legÃtimos.
Esses sites hospedam ou redirecionam visitantes para canais do Telegram, onde os arquivos de pacotes do Android (APKs) são fornecidos para vÃtimas inocentes.
Para adicionar legitimidade a esses sites, os agentes da ameaça adicionaram comentários falsos, aumentaram as contagens de downloads e usaram uma experiência de usuário falsa semelhante à Play Store, com instruções passo a passo sobre como fazer o sideload de APKs e ignorar os avisos de segurança do Android.
Atualização falsa carregando spyware em segundo planoFonte: Zimperium
De acordo com Zimperium, algumas amostras de malware ClayRat atuam como droppers, onde o aplicativo que o usuário vê é uma tela falsa de atualização da Play Store e uma carga criptografada está escondida nos ativos do aplicativo.
O malware se aninha no dispositivo usando um método de instalação “baseado em sessão” para contornar as restrições do Android 13+ e reduzir as suspeitas do usuário.
“Este método de instalação baseado em sessão reduz o risco percebido e aumenta a probabilidade de que uma visita a uma página da Web resulte na instalação de spyware”, dizem os pesquisadores.
Uma vez ativo no dispositivo, o malware pode usar o novo host para se propagar para mais vÃtimas, usando-o como trampolim para enviar SMS Ã lista de contatos da vÃtima.
Canal de telegrama espalhando conta-gotas ClayRatFonte: Zimperium
Capacidades do spyware
O spyware ClayRat assume a função de manipulador de SMS padrão em dispositivos infectados, permitindo ler todos os SMS recebidos e armazenados, interceptá-los antes de outros aplicativos e modificar bancos de dados de SMS.
ClayRat se tornando o manipulador de SMS padrãoFonte: Zimperium
O spyware estabelece comunicação com o C2, que é criptografado AES-GCM em suas versões mais recentes, e então recebe um dos 12 comandos suportados:
get_apps_list — envia lista de aplicativos instalados para C2
get_calls — envia registros de chamadas
get_camera — tire uma foto da câmera frontal e envie para o servidor
get_sms_list – exfiltra mensagens SMS
messsms — envie SMS em massa para todos os contatos
send_sms / make_call — envie SMS ou faça chamadas do dispositivo
notifica̵̤es / get_push_notifications Рcaptura notifica̵̤es e envia dados
get_device_info Рcoleta informa̵̤es do dispositivo
get_proxy_data — busca uma URL WebSocket de proxy, anexa o ID do dispositivo e inicializa um objeto de conexão (converte HTTP/HTTPS em WebSocket e agenda tarefas)
retransmissão — reenvia um SMS para um número recebido de C2
Quando as permissões necessárias são concedidas, o spyware coleta automaticamente os contatos e compõe e envia programaticamente mensagens SMS para cada contato para propagação em massa.
Como membro da App Defense Alliance, a Zimperium compartilhou os IoCs completos com o Google, e o Play Protect agora bloqueia variantes novas e conhecidas do spyware ClayRat.
No entanto, os investigadores sublinham que a campanha é massiva, com mais de 600 amostras registadas em três meses.
O evento de validação de segurança do ano: Picus BAS Summit
Participe do Breach and Attack Simulation Summit e experimente o futuro da validação de segurança. Ouça os principais especialistas e veja como o BAS baseado em IA está transformando a simulação de violações e ataques.
Não perca o evento que moldará o futuro da sua estratégia de segurança
Cadastre-se agora
O malware tem como alvo usuários russos por meio de canais do Telegram e sites maliciosos que parecem legÃtimos. Ele pode roubar registros de chamadas de mensagens SMS, notificações, tirar fotos e até fazer chamadas.
Pesquisadores de malware da empresa de segurança móvel Zimperium afirmam ter documentado mais de 600 amostras e 50 droppers distintos nos últimos três meses, indicando um esforço ativo do invasor para amplificar a operação.
Campanha ClayRat
A campanha ClayRat, batizada em homenagem ao servidor de comando e controle (C2) do malware, usa portais de phishing cuidadosamente elaborados e domÃnios registrados que imitam páginas de serviços legÃtimos.
Esses sites hospedam ou redirecionam visitantes para canais do Telegram, onde os arquivos de pacotes do Android (APKs) são fornecidos para vÃtimas inocentes.
Para adicionar legitimidade a esses sites, os agentes da ameaça adicionaram comentários falsos, aumentaram as contagens de downloads e usaram uma experiência de usuário falsa semelhante à Play Store, com instruções passo a passo sobre como fazer o sideload de APKs e ignorar os avisos de segurança do Android.
Atualização falsa carregando spyware em segundo planoFonte: Zimperium
De acordo com Zimperium, algumas amostras de malware ClayRat atuam como droppers, onde o aplicativo que o usuário vê é uma tela falsa de atualização da Play Store e uma carga criptografada está escondida nos ativos do aplicativo.
O malware se aninha no dispositivo usando um método de instalação “baseado em sessão” para contornar as restrições do Android 13+ e reduzir as suspeitas do usuário.
“Este método de instalação baseado em sessão reduz o risco percebido e aumenta a probabilidade de que uma visita a uma página da Web resulte na instalação de spyware”, dizem os pesquisadores.
Uma vez ativo no dispositivo, o malware pode usar o novo host para se propagar para mais vÃtimas, usando-o como trampolim para enviar SMS Ã lista de contatos da vÃtima.
Canal de telegrama espalhando conta-gotas ClayRatFonte: Zimperium
Capacidades do spyware
O spyware ClayRat assume a função de manipulador de SMS padrão em dispositivos infectados, permitindo ler todos os SMS recebidos e armazenados, interceptá-los antes de outros aplicativos e modificar bancos de dados de SMS.
ClayRat se tornando o manipulador de SMS padrãoFonte: Zimperium
O spyware estabelece comunicação com o C2, que é criptografado AES-GCM em suas versões mais recentes, e então recebe um dos 12 comandos suportados:
get_apps_list — envia lista de aplicativos instalados para C2
get_calls — envia registros de chamadas
get_camera — tire uma foto da câmera frontal e envie para o servidor
get_sms_list – exfiltra mensagens SMS
messsms — envie SMS em massa para todos os contatos
send_sms / make_call — envie SMS ou faça chamadas do dispositivo
notifica̵̤es / get_push_notifications Рcaptura notifica̵̤es e envia dados
get_device_info Рcoleta informa̵̤es do dispositivo
get_proxy_data — busca uma URL WebSocket de proxy, anexa o ID do dispositivo e inicializa um objeto de conexão (converte HTTP/HTTPS em WebSocket e agenda tarefas)
retransmissão — reenvia um SMS para um número recebido de C2
Quando as permissões necessárias são concedidas, o spyware coleta automaticamente os contatos e compõe e envia programaticamente mensagens SMS para cada contato para propagação em massa.
Como membro da App Defense Alliance, a Zimperium compartilhou os IoCs completos com o Google, e o Play Protect agora bloqueia variantes novas e conhecidas do spyware ClayRat.
No entanto, os investigadores sublinham que a campanha é massiva, com mais de 600 amostras registadas em três meses.
O evento de validação de segurança do ano: Picus BAS Summit
Participe do Breach and Attack Simulation Summit e experimente o futuro da validação de segurança. Ouça os principais especialistas e veja como o BAS baseado em IA está transformando a simulação de violações e ataques.
Não perca o evento que moldará o futuro da sua estratégia de segurança
Cadastre-se agora
#samirnews #samir #news #boletimtec #novo #spyware #para #android #clayrat #imita #whatsapp, #tiktok, #youtube
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário