ClayRat se mění v pokročilý malware pro Android: zneužívá zpřístupnění, krade PINy, hesla i kódy, blokuje odinstalaci a šíří se falešnými aplikacemi.
© A. Krivonosov
Výzkumníci ze společnosti Zimperium hlásí novou, výrazně propracovanější verzi malwaru pro Android s názvem ClayRat. Z hrozby, která dříve fungovala jako jednoduchý nástroj na krádež informací a stahovala SMS a záznamy hovorů, se mezitím stal víceúčelový sledovací nástroj s hlubším přístupem do systému a vestavěnou obranou proti odstranění. Tento posun působí jako znepokojivá eskalace, která zvyšuje sázky pro běžné uživatele.
První varianty zaznamenané na podzim 2024 byly poměrně omezené. Dnes už ClayRat využívá služby zpřístupnění v Androidu, což útočníkům dovoluje ovládat rozhraní zařízení téměř bez omezení. Arzenál se rozšířil o záznam stisků kláves, zachytávání PINů, čtení hesel a dokonce automatické odemykání obrazovky.
Odborníci zmiňují i novou pojistku proti odstranění: ClayRat přebírá dotyky, blokuje uživatelské příkazy a nahrazuje je jinými akcemi, aby zabránil vypnutí telefonu nebo odinstalaci malwaru. Na obrazovce se mohou objevovat falešné překryvy – třeba okno „aktualizace systému“ – které maskují skutečné dění. Taková iluze snadno vyvolá pochybnosti o tom, co člověk vlastně vidí.
K šíření se trojan maskuje jako populární aplikace: klienti videoslužeb, komunikátory či místní taxi a parkovací služby. Zimperium identifikovala více než 25 lákacích domén, včetně padělaných verzí YouTube Pro a Car Scanner ELM. Útočníci navíc hostují soubory APK na Dropboxu, čímž obcházejí bezpečnostní filtry. Opření se o známé značky a legitimní cloudové úložiště dává podvodu punc důvěryhodnosti.
Po instalaci získá ClayRat téměř plnou kontrolu: nahrává obrazovku přes rozhraní MediaProjection, zachytává oznámení, mění odpovědi a dokáže krást jednorázové kódy nebo zasahovat do konverzací. S takovým zázemím pak ani rutinní úkony nemusejí probíhat tak, jak je uživatel zvyklý.