Svelare una Nuova Minaccia: la Pericolosa Evoluzione di ClayRat
In una sorprendente rivelazione, i ricercatori di sicurezza presso zLabs di Zimperium hanno identificato una variante minacciosa di ClayRat, una campagna di malware Android che ha intrapreso una drammatica svolta in peggio. Inizialmente rilevato a ottobre, ClayRat era limitato al furto di messaggi SMS, registri delle chiamate, foto e notifiche. Tuttavia, questo pericoloso software ha notevolmente alzato la posta, trasformandosi da un semplice spyware in un formidabile predatore digitale.
La Minacciosa Ascesa dei Servizi di Accessibilità
L’ultima versione di ClayRat sfrutta i Servizi di Accessibilità per ottenere una presa di ferro sui dispositivi infetti. Questa sinistra tattica consente il keylogging, la registrazione dello schermo e persino la manipolazione dello schermo di blocco. Quella che era iniziata come un’irruzione basata sulla furtività si è ora equipaggiata con strumenti per impersonare senza soluzione di continuità notifiche legittime e intrappolare utenti ignari.
Un Inganno Deceptive
Per iniziare il suo regno di inganni, ClayRat si maschera come applicazioni popolari come YouTube o WhatsApp. Una volta installato, richiede astutamente permessi per la gestione degli SMS e i Servizi di Accessibilità. Con la complicità degli utenti implicata attraverso la fiducia in app apparentemente innocue, ClayRat chiude furtivamente Google Play Protect, lasciando la porta aperta per le sue operazioni.
Manipolazione Surrettizia del Sistema
Questo malware non si ferma al semplice furto di dati. Dopo aver assicurato i permessi del dispositivo, registra le sequenze dei tasti, raccogliendo informazioni vitali di accesso. L’uso dell’API MediaProjection permette un monitoraggio continuo dello schermo, alimentando i dati ai suoi centri di comando in forma criptata. Ciò assicura che informazioni essenziali, come password e dettagli di sistema, rimangano nascoste ai metodi di rilevamento tipici.
Distribuzione Diffusa e Aggressiva
I canali di distribuzione di ClayRat rivelano la sua intenzione aggressiva. Utilizza domini di phishing che imitano piattaforme riconoscibili e persino servizi cloud legittimi come Dropbox per diffondere il suo carico. Oltre 700 APK unici sono stati collegati a questa operazione, ognuno attentamente criptato per aggirare le barriere di sicurezza di Android.
L’Infiltrazione è Solo l’Inizio
Oltre a raccogliere dati, le nuove caratteristiche di ClayRat includono un attacco di nuovi comandi progettati per controllare più aspetti del dispositivo infetto. Comandi come send_push_notification creano notifiche false realistiche, ingannando gli utenti a rivelare credenziali sensibili, mentre start_desktop abilita sessioni a schermo intero che ricordano i tool di desktop remoto.
Difendersi da ClayRat
Secondo Cyber Press, le soluzioni di Zimperium come Mobile Threat Defense e zDefend offrono un rilevamento robusto di ClayRat tramite apprendimento automatico, superando la necessità di firme basate su cloud. Tuttavia, la preoccupazione più ampia incombe sulle aziende, specialmente quelle che adottano modelli BYOD (Bring Your Own Device). Il potenziale dello spyware di intercettare codici di autenticazione multifattore (MFA) e accedere a credenziali aziendali rappresenta un grave rischio.
ClayRat segnala un avanzamento sofisticato nella tecnologia del malware mobile, richiedendo vigilanza accresciuta e misure protettive robuste da parte di utenti e aziende.