Zimperium varnar: ClayRat blir avancerad Android‑skadligkod, utnyttjar tillgänglighetstjänster, låser upp skärmen och maskerar sig som populära appar.
© A. Krivonosov
Forskare på Zimperium rapporterar om en ny, mer avancerad version av Android‑skadligkoden ClayRat. Där hotet tidigare uppträdde som en enkel datatjuv som hämtade SMS och samtalsloggar, har det nu vuxit till ett mångsidigt övervakningsverktyg med djupare systemåtkomst och inbyggt skydd mot borttagning. Skiftet framstår som en oroväckande upptrappning som höjer insatserna för vanliga användare.
De tidiga varianterna som upptäcktes hösten 2024 var relativt begränsade. Nu utnyttjar ClayRat Androids tillgänglighetstjänster, vilket gör att angripare kan manövrera enhetens gränssnitt med få spärrar. Verktygslådan har växt: tangenttryck registreras, PIN‑koder fångas, lösenord läses av och skärmen kan till och med låsas upp automatiskt.
Specialister pekar också på ett nytt skydd mot borttagning: ClayRat fångar upp skärmtryck, blockerar användarkommandon och byter ut åtgärder för att hindra avstängning av telefonen eller avinstallation av skadligkoden. På skärmen kan falska överlägg dyka upp—till exempel ett fönster för "systemuppdatering"—som döljer vad som faktiskt sker. Den typen av handgrepp får användare att tvivla på sina egna intryck.
För att spridas kamouflerar sig trojanen som populära appar: videoklienter, meddelandetjänster och lokala taxi‑ eller parkeringstjänster. Zimperium har identifierat över 25 lockdomäner, däribland förfalskade versioner av YouTube Pro och Car Scanner ELM. Angriparna lägger dessutom upp APK‑filer på Dropbox och rundar därmed säkerhetsfilter. När bluffen vilar på välkända varumärken och legitim molnlagring blir den desto mer övertygande.
Väl installerad får ClayRat nästintill total kontroll: den spelar in skärmen via MediaProjection‑API:et, fångar upp aviseringar, manipulerar svar och kan stjäla engångskoder eller lägga sig i konversationer. Med det fästet beter sig till och med vardagliga moment inte alltid som man tror.