Negli ultimi mesi è emerso uno spyware Android con capacità di propagazione aggressiva chiamato ClayRat, segnalato inizialmente come una minaccia rivolta a utenti russi ma che ora mostra segni di evoluzione e diffusione più ampia. Il nome “ClayRat” deriva dalla console C2 (command-and-control) utilizzata dagli attaccanti per gestire i dispositivi compromessi.
La campagna di attacco sfrutta un insieme di tecniche di social engineering e ingegneria web per ingannare gli utenti: vengono creati siti phishing che imitano app popolari come WhatsApp, TikTok, Google Photos o YouTube, con interfacce quasi indistinguibili, testimonianze false, conteggi di download gonfiati e persino fasi di istruzione guidata per persuadere la vittima a scaricare un file APK esterno. In molti casi il flusso parte da canali Telegram gestiti dagli attaccanti, che fungono da repository “ufficiale” per distribuire i droppers.
Molti esemplari di ClayRat agiscono da dropper: l’app visibile non è affatto l’agent spia, ma un modulo leggero che mostra una schermata fasulla di aggiornamento del Play Store o della app stessa. L’effettivo payload è nascosto come risorsa cifrata all’interno dell’APK, che viene decrittato o caricato dinamicamente durante l’installazione. Questa modalità “session-based” è pensata per ridurre i sospetti dell’utente e superare restrizioni delle versioni più recenti di Android.
Una volta attivo sul dispositivo, ClayRat richiede di essere impostato come app SMS predefinita, condizione che gli consente di oltrepassare controlli runtime sulle autorizzazioni. In questo ruolo ottiene accesso alle funzionalità di lettura, invio e intercettazione degli SMS, controllo dei log di chiamata, accesso alle notifiche e all’elenco applicazioni installate. A partire da quell’accesso ClayRat può inviare SMS con link malevoli a tutti i contatti della vittima, trasformando il dispositivo compromesso in un nodo di diffusione del malware. Altre capacità includono l’attivazione della fotocamera frontale per catturare immagini, l’esfiltrazione di informazioni sul dispositivo, la generazione di chiamate o messaggi sotto comando remoto.
Dal punto di vista della comunicazione verso il server C2, le versioni più recenti del malware utilizzano cifratura AES-GCM per proteggere i dati in transito, mentre nei modelli precedenti è stata osservata una trasmissione in chiaro su HTTP, con l’inserimento del marker “apezdolskynet” all’interno dei payload codificati in Base64. Il malware invia tutto verso il C2, che comanda le operazioni di raccolta dati, propagazione o esecuzione di comandi supportati (tra cui liste applicazioni, elenco contatti, richieste di invio SMS, cattura foto).
Il numero di varianti già rilevate in soli tre mesi supera i 600 esempi e oltre 50 droppers distinti, segno che gli operatori affinano costantemente tecniche di offuscamento e mutazione per sfuggire ai meccanismi di difesa. Le tecniche includono packing, offuscamento del codice e mascheramento delle funzioni principali.
In risposta all’emergere di ClayRat, Google ha affermato che le sue tecnologie di protezione integrate (Play Protect) bloccano le versioni note del malware sui dispositivi che hanno i servizi Google attivi. Zimperium ha condiviso indicatori di compromissione con Google e altre entità per migliorare il rilevamento e la mitigazione. In sintesi ClayRat rappresenta una minaccia sofisticata e dinamica nel panorama mobile: combina l’illusione della familiarità (imitazione delle app note), tecniche di dropper avanzate, abuso del ruolo SMS predefinito, capacità di auto-propagazione tramite rubrica e un ciclo di mutazione rapida che mette pressione ai sistemi di difesa tradizionali.
Commenti
Posta un commento