概要:急増するClayRatスパイウェアの脅威
過去3ヶ月間で、ClayRatと呼ばれるAndroidスパイウェアキャンペーンが急速に活動を拡大しており、zLabsの研究者たちは600以上のユニークなサンプルと50の異なるドロッパーを確認しています。このマルウェアは主にロシアのユーザーを標的とし、WhatsApp、Googleフォト、TikTok、YouTubeなどの人気アプリケーションを装って、欺瞞的なTelegramチャンネルやフィッシングウェブサイトを通じて悪意のあるAPKをインストールさせます。
一度インストールされると、ClayRatはSMSメッセージ、通話履歴、通知、詳細なデバイス情報などを窃取します。さらに、前面カメラで写真を撮影し、被害者のデバイスから直接SMSメッセージを送信したり、電話をかけたりすることも可能で、感染したデバイスを強力な監視および配布ハブに変えてしまいます。
巧妙な伝播手法とソーシャルエンジニアリング
このキャンペーンは、ユーザーの信頼を悪用するために、ソーシャルエンジニアリングとウェブベースの欺瞞を巧妙に組み合わせています。攻撃者は、偽のGdeDPSランディングページのような模倣ドメインを登録し、訪問者を悪意のあるAPKがホストされているTelegramチャンネルにリダイレクトします。
これらのチャンネルには、偽の肯定的なコメント、水増しされたダウンロード数、偽のユーザー証言など、仕組まれたソーシャルプルーフが散りばめられており、疑念を減らし、インストール率を高めています。場合によっては、Androidの公式アップデート画面を模倣したセッション形式のインストールフローを通じて、被害者が「不明なソースからのインストール」を有効にするよう誘導し、組み込みのセキュリティ警告を回避させます。フィッシングサイトは、「YouTube Plus」ポータルなどの正規サービスを装い、機能アドオンやアップデートと偽ってスパイウェアをホストしています。
検出回避とAndroid 13の権限悪用
ClayRatのオペレーターは、検出を回避するためにスパイウェアを継続的に強化しています。新しい亜種ごとに、難読化とパッキングの層が追加されており、ある亜種ではBase64エンコードされたペイロードに「apezdolskynet」というマーカーストリングが挿入され、別の亜種ではコマンド&コントロール(C2)通信にAES-GCM暗号化が利用されています。
Android 13のより厳格な権限モデルを回避するため、マルウェアはデフォルトのSMSハンドラーの役割を悪用し、権限プロンプトをトリガーすることなく広範なSMSアクセス権を自身に付与します。この単一の承認により、ClayRatはすべての受信および保存されたメッセージを読み取り、確認なしに新しいSMSを送信し、他のアプリに配信される前にSMSイベントを傍受し、SMSデータベースを変更することができます。
アクティベーション後、スパイウェアは直ちに前面カメラで写真を撮影し、C2サーバーに送信します。以下の包括的なリモートコマンドをサポートしています:
get_apps_list: インストールされているアプリケーションを取得get_calls: 通話履歴を窃取get_camera: 前面カメラの画像をキャプチャしてアップロードget_sms_list: SMSメッセージを収集messsms: すべての連絡先に一括SMSメッセージを送信send_sms: SMSを送信make_call: 電話をかける- その他
緩和策と推奨事項
App Defense Allianceのパートナーとして、ZimperiumはGoogleと調査結果を共有しており、Google Play Protectが既知のClayRat亜種からユーザーを自動的に保護しています。また、Zimperiumは、Androidの制限を回避するためにドロッパーアプリとして偽装する50以上のサンプルも特定しました。
ユーザー向けの防御策としては、不明なソースからのインストールを無効にする、サイドローディングする前にアプリケーションを慎重に検証する、そして公式アップデートを速やかに適用することが挙げられます。企業は、デフォルトのSMSハンドラーの割り当てを信頼できるアプリケーションのみに制限するモバイルアプリケーション管理ポリシーを施行すべきです。
ClayRatの急速な進化に対抗し、広範な侵害を防ぐためには、セキュリティベンダーとプラットフォームプロバイダー間の継続的な警戒と協力が不可欠です。