ClayRat возвращается: Android-шпион блокирует удаление
Специалисты Zimperium заявили, что вредонос ClayRat, известный с 2024 года, снова распространяется и стал гораздо опаснее. Если раньше он работал как обычный инфостилер, крадя СМС и журналы звонков, то теперь он превратился в полноценный шпионский инструмент, который не только собирает данные, но и активно мешает попыткам удалить его со смартфона.
Аналитики отмечают, что новая версия использует специальные возможности Android — механизмы, предназначенные для людей с ограниченными возможностями. Благодаря этому ClayRat получил доступ ко всему интерфейсу устройства. Вредонос способен перехватывать нажатия, считывать PIN-коды и пароли, вести кейлогинг и даже автоматически обходить блокировку экрана.
Отдельное внимание исследователи уделили защитным механизмам трояна. При попытке удалить приложение ClayRat блокирует действия пользователя, имитируя нажатия системных кнопок и закрывая нужные окна. Также он накладывает фальшивые оверлеи, например экран «обновления системы», скрывая происходящее.
Для распространения ClayRat маскируется под популярные сервисы — мессенджеры, видео-платформы, городские приложения. Найдено более 25 доменов-приманок, среди которых подделки под «YouTube Pro» и «Car Scanner ELM». Злоумышленники также используют Dropbox для распространения APK-файлов, чтобы обходить фильтры.
После установки троян получает практически полный контроль над смартфоном: записывает экран через MediaProjection API, перехватывает взаимодействие с уведомлениями, подменяет ответы и может похищать одноразовые коды.
В Zimperium подчёркивают, что обновлённый ClayRat стал значительно опаснее и демонстрирует стремительную эволюцию мобильных угроз. В России троян ранее обнаруживали под видом WhatsApp*, TikTok, Google Photos и YouTube.
*Meta признана экстремистской организацией и запрещена в России.
Источник: Anti-Malware.ru
Рекомендуем также:
Последние новости Перми уже в твоем телефоне - подписывайся на телеграм-канал «Пермь Новости»
