Denominado ClayRat, puede realizar llamadas directamente desde el dispositivo de la víctima
Una campaña de software espía para Android en rápida evolución llamada ClayRat se ha dirigido a usuarios utilizando una combinación de canales de Telegram y sitios web de phishing similares, haciéndose pasar por populares aplicaciones como WhatsApp, Google Photos, TikTok y YouTube como señuelos para instalarlos.
"Una vez activo, el spyware puede filtrar mensajes SMS, registros de llamadas, notificaciones e información del dispositivo; tomar fotografías con la cámara frontal; e incluso enviar mensajes SMS o realizar llamadas directamente desde el dispositivo de la víctima", dijo en un informe el investigador de Zimperium, Vishnu Pratapagiri.
El malware también está diseñado para propagarse enviando enlaces maliciosos a todos los contactos de la libreta telefónica de la víctima, lo que indica tácticas agresivas por parte de los atacantes para aprovechar los dispositivos comprometidos como vector de distribución.
La compañía de seguridad móvil afirmó haber detectado no menos de 600 muestras y 50 droppers en los últimos 90 días, y cada iteración sucesiva incorpora nuevas capas de ofuscación para eludir los esfuerzos de detección y anticiparse a las defensas de seguridad. El nombre del malware hace referencia al panel de comando y control (C2) que permite administrar remotamente los dispositivos infectados.
La cadena de ataque implica redirigir a los desprevenidos visitantes de estos sitios falsos a canales de Telegram bajo el control del adversario, desde donde son engañados para que descarguen archivos APK inflando artificialmente los recuentos de descargas y compartiendo testimonios fabricados como prueba de su popularidad.
En otros casos, se ha descubierto que sitios web falsos que afirman ofrecer "YouTube Plus" con funciones premium alojan archivos APK que pueden eludir las protecciones de seguridad impuestas por Google para evitar la carga lateral de aplicaciones en dispositivos que ejecutan Android 13 y versiones posteriores.
"Para eludir las restricciones de la plataforma y la fricción añadida de las nuevas versiones de Android, algunas muestras de ClayRat actúan como instaladores: la aplicación visible es simplemente un instalador ligero que muestra una falsa pantalla de actualización de Play Store, mientras que la carga útil cifrada real se oculta entre los recursos de la aplicación", declaró la compañía. "Este método de instalación basado en sesiones reduce el riesgo percibido y aumenta la probabilidad de que una visita a una página web provoque la instalación de spyware".
Una vez instalado, ClayRat utiliza HTTP estándar para comunicarse con su infraestructura C2 y solicita a los usuarios que lo conviertan en la aplicación SMS predeterminada para obtener acceso a contenido confidencial y funciones de mensajería, lo que le permite capturar de forma encubierta registros de llamadas, mensajes de texto, notificaciones y difundir el malware a todos los demás contactos.
Algunas de las otras características del malware incluyen realizar llamadas telefónicas, obtener información del dispositivo, tomar fotografías usando la cámara del dispositivo y enviar una lista de todas las aplicaciones instaladas al servidor C2.
ClayRat es una potente amenaza no solo por sus capacidades de vigilancia, sino también por su capacidad de convertir un dispositivo infectado en un nodo de distribución de manera automatizada, lo que permite a los actores de la amenaza expandir su alcance rápidamente sin ninguna intervención manual.
Un portavoz de Google dijo que los usuarios de Android están protegidos automáticamente contra versiones conocidas del malware a través de Google Play Protect, que está habilitado de forma predeterminada en los dispositivos con Google Play Services.
