Телефонный вирус ClayRat атакует россиян: он обходит защиту, звонит и включает камеру

В России распространяется новый вирус ClayRat, нацеленный на владельцев Android-смартфонов. Он собирает данные, умеет активировать камеру, звонить, перехватывать СМС и сам себя распространяет. Эксперты бьют тревогу: вредонос получил инструменты для обхода антивируса и защиты Android.

Александр Куманев

Первыми о развитии шпионской кампании ClayRat в России сообщили эксперты по кибербезопасности компании Zimperium. Вредоносное ПО нацелено на владельцев Android-смартфонов.

Это больше, чем просто инструмент для слежки. ClayRat читает переписки и уведомления, историю звонков, системные данные. Он может скрытно активировать камеру и делать снимки, а среди его возможностей присутствуют звонки, отправка, чтение и перехват сообщений. Собранные сведения пересылаются на сервер киберпреступников. По данным экспертов, злоумышленники могут запускать более 12 задач на зараженном телефоне.

Пользователь может не догадываться о шпионе в кармане, а цель вредоноса — создание полноценной сети.

Сам звонит, отправляет СМС и запускает камеру: почему ClayRat так опасенСам звонит, отправляет СМС и запускает камеру: почему ClayRat так опасен. Фото: 1MI

Как распространяется ClayRat

Еще одна особенность вируса — самораспространение. Для этого он рассылает контактам из адресной книги зараженные ссылки — каждый телефон становится точкой дальнейшей атаки.

«Подхватить» вирус можно на фишинговых сайтах и фейковых тг-каналах. Эксперты по кибербезопасности отмечают серьезную инфраструктуру. Используются как типичные сайты-клоны, так и ресурсы, где пользователям якобы предлагают премиум-аккаунты сервисов. Например, получить YouTube Plus бесплатно (достаточно скачать приложение).

Скриншот сайта, который предлагает установить вирус ClayRat под видом аккаунта YouTube PlusВирус вместо YouTube Plus: почему ClayRat пугает и восхищает?. Фото: скриншот. Сайт злоумышленников

В другом случае они предлагают скачать приложение для водителей, которое якобы отображает на карте места, где стоят сотрудники ДПС. Подобных примеров предостаточно. Уже сейчас вирус маскируется под WhatsApp*, Google Photos, TikTok, YouTube и другие популярные сервисы.

ClayRat выдает себя за полезные приложенияClayRat маскируется под популярные приложения и полезные сервисы. Фото: Zimperium

Злоумышленники создают Telegram-каналы от имени реальных организаций.

В одном из случаев они пишут от лица московской гостиницы, предлагая взглянуть на фото номеров перед заселением, но вместо архива с изображениями пользователь скачивает вирус в виде установочного APK-файла.

Злоумышленники ведут тг-канал от имени гостиницыСкриншот тг-канала злоумышленников: установочный файл вместо архива фото. Фото: Zimperium

Во всех случаях предложение выглядит очень похожим на реальное. Есть отзывы, удобные инструкции по скачиванию и установке — создается видимость реальной работы.

В Zimperium подчеркнули, что такой подход делает инфраструктуру более стабильной, затрудняя срыв кампании по распространению вредоноса. Подход злоумышленников говорит о способности расширять инфраструктуру атак.

Шпионит и прячется от антивирусов

Злоумышленники не сидят без дела пока их детище захватывает смартфоны россиян. Только за три месяца обнаружено более 600 образцов ClayRat, каждый из которых становится все более опасным, получая больше механизмов для сокрытия следов и обхода антивирусов.

Для обхода внутренней защиты Android используются не менее 50 дропперов — упрощенных загрузчиков, которые маскируются под обновления популярных приложений. Они скачивают и устанавливают вирус на телефон, часто незаметно для владельца. Например, под видом очередного обновления через Google Play. Сам вредоносный код зашифрован в файлах приложения, что делает невозможным его обнаружение антивирусом.

Как ClayRat обходит антивирусы и защиту телефонаУстановка ClayRat под видом обновления приложения через Google Play. Фото: Zimperium

Как не стать жертвой ClayRat?

Эксперты небезосновательно называют шпионское ПО ClayRat одной из самых серьезных угроз безопасности за последнее время. Вредонос ориентирован на пользователей, плохо разбирающихся в современных технологиях. Важно отметить, что вирус запрашивает разрешения у пользователя по аналогии с обычными приложениями.

О проблеме говорят российские СМИ, УБК МВД России (киберполиция) и профильные ресурсы.

«Чтобы обезопасить себя, скачивайте приложения только из проверенных источников», — советуют в пресс-службе киберполиции.

Владельцам смартфонов рекомендуется смотреть, какие разрешения они предоставляют установленным приложениям, а также обращать внимание на расширения скачиваемых файлов. Беспечность и низкая киберграмотность могут обойтись очень дорого.

* — принадлежит Meta Platforms Inc., признанной экстремистской и запрещенной в РФ.