Новый ClayRat для Android сопротивляется удалению и ворует данные

В отчёте Zimperium говорится, что актуальная кампания по распространению ClayRat строится на маскировке под легитимные приложения и использовании доверенной инфраструктуры. Вредоносные APK‑файлы выдаются за популярные видеоплатформы, мессенджеры и региональные сервисы, такие как приложения для такси или парковки. Исследователи выявили более 25 доменов‑приманок, среди которых поддельные версии «YouTube Pro» и программы автомобильной диагностики «Car Scanner ELM».

Для обхода веб‑фильтров злоумышленники размещают файлы загрузки на легальных облачных сервисах, в том числе в Dropbox. Пользователь переходит по рекламе или ссылке на «обновление» известного приложения, попадает на поддельный сайт и скачивает заражённый пакет, уверенный в его легальности. После установки ClayRat запрашивает расширенные права и доступ к специальным возможностям, что остаётся малозаметным для невнимательных владельцев смартфонов.

Получив необходимые разрешения, троян начинает комплексный сбор информации: перехватывает СМС и уведомления, копирует журналы звонков, записывает содержимое экрана через MediaProjection API. Одновременно он может подставлять собственные ответы на входящие уведомления, что облегчает кражу одноразовых паролей и получение контроля над мессенджерами и банковскими приложениями.

Эксперты напоминают, что первые случаи заражения ClayRat фиксировались ещё осенью 2024 года, в том числе в России, где троян маскировался под WhatsApp, TikTok, Google Photos и YouTube. Новая волна кампании, по оценке Zimperium, отличается более агрессивной маскировкой и использованием доверенных платформ. Специалисты рекомендуют загружать приложения только из официальных магазинов, внимательно относиться к запросам на доступ к специальным возможностям и использовать комплексные решения для защиты мобильных устройств, сообщает anti-malware.ru.

Обратите внимание: Овнов ждет резкий карьерный подъем, а Ракам смело можно начинать ремонт