Исследователи компании Zimperium сообщили о кампании распространения нового вредоносного ПО для Android-устройств. Зловред, получивший название ClayRat, является шпионской программой с широким набором функций: он способен открывать SMS-сообщения раньше любого другого приложения, похищать историю голосовых вызовов, уведомления, сведения о системе и даже совершать звонки и делать фото с помощью камеры устройства.

ClayRat нацелен на русскоговорящих пользователей и распространяется через телеграм-каналы, а также вредоносные сайты, дизайн которых весьма умело копирует легитимные ресурсы. Такую же тщательность организаторы кампании проявляют и при регистрации доменов для своих сайтов. Вредоносное ПО маскируется под такие популярные приложения и сервисы как WhatsApp, Google Photos, TikTok и YouTube. Для большей убедительности сайты снабжены фальшивыми хвалебными отзывами пользователей и впечатляющими цифрами загрузок. В некоторых случаях зловред также загружается под видом обновления одного из легитимных приложений Google Play Store через фальшивое окно обновлений.

После установки ClayRat запрашивает разрешение стать приложением по умолчанию для SMS-сообщений. И если получает такие полномочия, то может в полной мере использовать весь свой шпионский функционал, передавая собранные данные на подконтрольные киберпреступникам командные серверы. Кроме того, зловред начинает сам распространять себя, рассылая ссылки на вредоносные сайты всем контактам из адресной книги пользователя.

Компания Zimperium уведомила корпорацию Google об угрозе, и в настоящее время защитные решения Play Protect успешно блокируют все известные и новые варианты ClayRat. Однако исследователи отмечают, что за три месяца они выявили более 600 различных образцов зловреда, которые содержат все новые изменения, призванные обойти защитные механизмы. Это свидетельствует о том, что организаторы вредоносной кампании ведут ее с большим размахом и вряд ли легко смирятся с поражением.