概要:新Androidスパイウェア「ClayRat」の脅威
「ClayRat」と名付けられた新たなAndroidスパイウェアが、WhatsApp、Google Photos、TikTok、YouTubeといった人気アプリやサービスを装い、潜在的な被害者を誘い込んでいます。このマルウェアは、主にロシアのユーザーを標的としており、Telegramチャンネルや正規のウェブサイトに見せかけた悪意のあるサイトを通じて拡散されています。
ClayRatは、SMSメッセージ、通話履歴、通知の窃取、写真撮影、さらには電話の発信まで行うことが可能です。モバイルセキュリティ企業Zimperiumの研究者によると、過去3ヶ月間で600以上のサンプルと50種類の異なるドロッパーが確認されており、攻撃者が活動を拡大していることが示唆されています。
ClayRatキャンペーンの詳細
ClayRatキャンペーンは、マルウェアのコマンド&コントロール(C2)サーバーにちなんで名付けられました。攻撃者は、正規のサービスページに酷似した巧妙に作成されたフィッシングポータルや登録済みドメインを利用しています。これらのサイトは、訪問者をTelegramチャンネルに誘導し、そこでAndroidパッケージファイル(APK)が疑うことを知らない被害者に提供されます。
サイトの信頼性を高めるため、脅威アクターは偽のコメント、水増しされたダウンロード数、そしてAndroidのセキュリティ警告を回避してAPKをサイドロードする方法を段階的に説明する、偽のPlayストアのようなユーザーエクスペリエンスを追加しています。
Zimperiumによると、一部のClayRatマルウェアサンプルはドロッパーとして機能し、ユーザーが見るアプリは偽のPlayストア更新画面であり、暗号化されたペイロードがアプリのアセットに隠されています。マルウェアは、Android 13以降の制限を回避し、ユーザーの疑念を減らすために「セッションベース」のインストール方法を使用してデバイスに潜伏します。一度デバイス上で活動を開始すると、マルウェアは感染したデバイスを足がかりとして、被害者の連絡先リストにSMSを送信することで、さらに多くの被害者へと拡散する可能性があります。
スパイウェアの機能
ClayRatスパイウェアは、感染したデバイス上でデフォルトのSMSハンドラーの役割を担います。これにより、受信および保存されているすべてのSMSを読み取り、他のアプリよりも先に傍受し、SMSデータベースを変更することが可能になります。
スパイウェアは、最新バージョンではAES-GCM暗号化されたC2と通信を確立し、以下の12種類のコマンドのいずれかを受信します。
get_apps_list— インストールされているアプリのリストをC2に送信get_calls— 通話履歴を送信get_camera— フロントカメラで写真を撮影し、サーバーに送信get_sms_list— SMSメッセージを外部に送信messsms— すべての連絡先に一斉SMSを送信send_sms / make_call— デバイスからSMSを送信または電話をかけるnotifications / get_push_notifications— 通知とプッシュデータをキャプチャget_device_info— デバイス情報を収集get_proxy_data— プロキシWebSocket URLを取得し、デバイスIDを追加して接続オブジェクトを初期化(HTTP/HTTPSをWebSocketに変換し、タスクをスケジュール)retransmishion— C2から受信した番号にSMSを再送信
必要な権限が付与されると、スパイウェアは自動的に連絡先を収集し、プログラム的にSMSメッセージを作成してすべての連絡先に送信し、一斉に拡散します。
対策と現状
App Defense Allianceのメンバーとして、Zimperiumは完全なIoC(侵害の痕跡)をGoogleと共有しました。その結果、Google Play Protectは、ClayRatスパイウェアの既知および新規の亜種をブロックするようになりました。しかし、研究者たちは、このキャンペーンが大規模であり、3ヶ月間で600以上のサンプルが記録されていることを強調しています。