概要:急増するClayRatマルウェアの脅威
過去3ヶ月間で、ClayRatと呼ばれるAndroidスパイウェアキャンペーンが急速に活動を活発化させています。zLabsの研究者たちは、600以上のユニークなサンプルと50種類のドロッパーを確認しており、主にロシアのユーザーを標的としています。このマルウェアは、WhatsApp、Google Photos、TikTok、YouTubeといった人気アプリケーションを装い、欺瞞的なTelegramチャンネルやフィッシングウェブサイトを通じて、被害者に悪意のあるAPKをインストールさせます。
一度インストールされると、ClayRatはSMSメッセージ、通話履歴、通知、詳細なデバイス情報を窃取します。さらに、フロントカメラで写真を撮影したり、被害者のデバイスから直接SMSメッセージを送信したり、電話をかけたりすることが可能で、感染したデバイスを強力な監視および拡散ハブに変えてしまいます。
巧妙な拡散手法とソーシャルエンジニアリング
ClayRatキャンペーンは、ユーザーの信頼を悪用するために、ソーシャルエンジニアリングとウェブベースの欺瞞を巧妙に組み合わせています。攻撃者は、偽のGdeDPSランディングページのような模倣ドメインを登録し、訪問者を悪意のあるAPKがホストされているTelegramチャンネルにリダイレクトします。
これらのチャンネルには、偽の肯定的なコメント、水増しされたダウンロード数、偽のユーザー証言といった偽装されたソーシャルプルーフが仕込まれており、疑念を減らし、インストール率を高めています。場合によっては、被害者はAndroidの公式アップデート画面を模倣したセッション形式のインストールフローに誘導されます。簡単なステップバイステップの指示により、ユーザーは不明なソースからのインストールを有効にするよう促され、組み込みのセキュリティ警告を回避させられます。
また、フィッシングサイトは「YouTube Plus」ポータルなどの正規サービスを装い、スパイウェアを機能アドオンやアップデートとして偽装してホストしています。
検出回避と権限の悪用
ClayRatのオペレーターは、検出を回避するためにスパイウェアを継続的に強化しています。新しい亜種ごとに、難読化とパッキングの層が追加されており、ある亜種ではBase64エンコードされたペイロードに「apezdolskynet」というマーカーストリングが挿入され、別の亜種ではコマンド&コントロール(C2)通信にAES-GCM暗号化が利用されています。
Android 13のより厳格な権限モデルを回避するため、マルウェアはデフォルトのSMSハンドラーの役割を悪用し、パーミッションプロンプトをトリガーすることなく広範なSMSアクセス権限を自身に付与します。この単一の承認により、ClayRatはすべての受信および保存されたメッセージを読み取り、確認なしに新しいSMSを送信し、他のアプリに配信される前にSMSイベントを傍受し、SMSデータベースを変更することができます。
アクティベーション後、スパイウェアは直ちにフロントカメラで写真を撮影し、C2サーバーに流出させます。以下の包括的なリモートコマンドをサポートしています。
- get_apps_list: インストールされているアプリケーションを取得
- get_calls: 通話履歴を流出
- get_camera: フロントカメラの画像をキャプチャしてアップロード
- get_sms_list: SMSメッセージを収集
- messsms: すべての連絡先に一括SMSメッセージを送信
- send_sms: SMSを送信
- make_call: 電話をかける
対策と防御策
ZimperiumはApp Defense Allianceのパートナーとして、Googleと調査結果を共有しており、Google Play Protectは既知のClayRat亜種からユーザーを自動的に保護しています。また、Zimperiumは、マルウェアがAndroidの制限を回避するためにドロッパーアプリとして偽装している50以上のサンプルを特定しました。
ユーザー向けの防御策としては、以下の点が挙げられます。
- 不明なソースからのインストールを無効にする
- サイドローディングする前にアプリケーションを慎重に検証する
- 公式アップデートを速やかに適用する
企業は、デフォルトのSMSハンドラーの割り当てを信頼できるアプリケーションのみに制限するモバイルアプリケーション管理ポリシーを施行すべきです。ClayRatの急速な進化と広範な侵害を防ぐためには、セキュリティベンダーとプラットフォームプロバイダー間の継続的な警戒と協力が不可欠です。