Обновлённый Android-вирус ClayRat превратился в мощный шпионский инструмент.
Пользователям грозит опасный троян ClayRat, защищённый от удаления
Фото: © A. Krivonosov
Исследователи из Zimperium сообщили о выходе новой, более продуманной версии Android-вредоноса ClayRat. Если раньше угрозу представлял лишь инфостилер, собирающий СМС и логи звонков, то теперь ClayRat превратился в многофункциональный инструмент слежки, получив расширенный доступ к системе и механизм защиты от удаления.
Первые версии трояна, обнаруженные осенью 2024 года, работали относительно ограниченно. Однако сейчас вредонос использует службы специальных возможностей Android, что даёт злоумышленникам возможность управлять интерфейсом устройства практически без ограничений. В арсенале ClayRat появились кейлоггер, перехват ПИН-кодов, чтение паролей, а также автоматическое снятие блокировки экрана.
Отдельно специалисты отмечают новую защиту трояна от удаления: ClayRat перехватывает нажатия, блокирует команды пользователя и подменяет действия так, чтобы помешать выключению смартфона или деинсталляции вредоносного ПО. На экране могут появляться фейковые оверлеи — например, окно «обновления системы» — скрывающее настоящую активность.
Для распространения троян маскируется под популярные программы: клиенты видеосервисов, мессенджеры, локальные сервисы такси и парковки. Zimperium обнаружила более 25 доменов-приманок, включая поддельные версии YouTube Pro и Car Scanner ELM. Также злоумышленники используют Dropbox для размещения APK-файлов, и обходя фильтры безопасности.
После установки ClayRat получает практически полный контроль: записывает экран через MediaProjection API, перехватывает уведомления, подменяет ответы и может похищать одноразовые коды или вмешиваться в переписки.