Một chiến dịch phần mềm gián điệp Android đang phát triển nhanh chóng, mang tên ClayRat, đã nhắm vào người dùng thông qua các kênh Telegram và những trang web giả mạo.

Kẻ tấn công đóng giả các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube để dụ người dùng tải về và cài đặt.

Theo báo cáo từ công ty an ninh mạng Zimperium, chuỗi tấn công của ClayRat được dàn dựng rất bài bản.

Đầu tiên, người dùng bị dẫn dụ đến các trang web giả mạo, hứa hẹn cung cấp các phiên bản “Plus” của ứng dụng với tính năng cao cấp ví dụ như YouTube Plus.

Từ các trang web này, nạn nhân được điều hướng đến các kênh Telegram do kẻ tấn công kiểm soát. Tại đây, chúng sử dụng các chiêu trò như tăng số lượt tải xuống một cách giả tạo và tung ra các lời chứng thực giả mạo để tạo cảm giác ứng dụng đáng tin cậy.

Sau đó, nạn nhân bị lừa tải về và cài đặt tệp APK chứa mã độc ClayRat.

” Khi đã xâm nhập thành công, phần mềm gián điệp này có thể đánh cắp tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin thiết bị; bí mật chụp ảnh bằng camera trước và thậm chí tự động gửi tin nhắn hoặc thực hiện cuộc gọi từ chính máy của nạn nhân “, chuyên gia an ninh mạng Vishnu Pratapagiri của Công ty Zimperium cho biết.

Điểm đáng sợ nhất của ClayRat không chỉ dừng lại ở việc đánh cắp dữ liệu. Nó được thiết kế để tự nhân bản, phần mềm độc hại này sẽ tự động gửi các liên kết độc hại đến tất cả mọi người trong danh bạ của nạn nhân, biến chiếc điện thoại bị nhiễm thành một nút phát tán virus, giúp kẻ tấn công mở rộng quy mô mà không cần can thiệp thủ công.

Trong 90 ngày qua, Zimperium đã phát hiện không dưới 600 mẫu mã độc và 50 ứng dụng “mồi” cho thấy kẻ tấn công đang liên tục cải tiến, thêm các lớp ngụy trang mới để né tránh các phần mềm bảo mật.

Đối với các thiết bị chạy Android 13 trở lên với các biện pháp bảo mật được siết chặt, ClayRat sử dụng một thủ thuật tinh vi hơn. Ứng dụng giả mạo ban đầu chỉ là một trình cài đặt gọn nhẹ.

Khi được khởi chạy, nó sẽ hiển thị một màn hình cập nhật cửa hàng Play giả, trong khi âm thầm tải và cài đặt mã độc chính đã được mã hóa ẩn bên trong.

Sau khi cài đặt, ClayRat sẽ yêu cầu người dùng cấp quyền trở thành ứng dụng SMS mặc định để có thể truy cập và kiểm soát hoàn toàn tin nhắn cũng như nhật ký cuộc gọi.

Bộ phát wifi 4G di động mini ROOSEE M610, chuẩn wifi 6

Trong một nghiên cứu liên quan, các nhà khoa học từ Đại học Luxembourg và Đại học Cheikh Anta Diop phát hiện nhiều ứng dụng cài sẵn trên các smartphone Android giá rẻ bán tại châu Phi được cấp quyền ở mức cao hơn bình thường. Một số gói phần mềm do nhà sản xuất cung cấp thậm chí gửi dữ liệu định danh và vị trí về máy chủ bên thứ ba.

Phía Google cho biết người dùng Android sẽ được bảo vệ tự động khỏi các phiên bản đã biết của phần mềm độc hại này thông qua Google Play Protect, một tính năng được bật mặc định trên các thiết bị có Dịch vụ Google Play.

Tuy nhiên, mối đe dọa từ các biến thể mới và các nguồn cài đặt không chính thống vẫn là một lời cảnh báo cho tất cả người dùng.

Theo: The Hacker News