Маскируется и распространяет себя: чем опасен новый телефонный вирус ClayRat
Вирус-шпион ClayRat: откуда берется и чем грозит владельцам смартфонов
Почему ClayRat называют вирусом-мутантом, в чем механизм его «заразности» и как обезопасить свой смартфон от нового «недуга», читайте в материале «Ямал-Медиа».
Что за вирус ClayRat
Английское словосочетание «ClayRat» дословно означает «глиняная крыса». Довольно меткое определение, учитывая, что вирус относится к шпионским программам. Попав на Android-устройство (телефон, планшет), он получает почти полный контроль над гаджетом. Например, следит за перепиской, журналами звонков, уведомлениями, делает снимки с фронтальной камеры и даже способен самостоятельно отправлять смс или совершать звонки от имени жертвы.
При этом зловредная программа может распространять саму себя. Тогда всем контактам зараженного телефона приходят фишинговые ссылки с сообщением «Узнай первым! <ссылка>». Если человек перейдет по ней — он тоже получит на свой аппарат «подарок» в виде ClayRat.
Кому грозит новый вирус ClayRat
Американская компания Zimperium, специализирующаяся на кибербезопасности и защите мобильных устройств с помощью технологий искусственного интеллекта, утверждает: программа ClayRat сейчас атакует преимущественно пользователей в России. В их блоге опубликованы образцы и детальный разбор этих атак. Мошенники маскируют шпиона под популярные приложения, включая TikTok, WhatsApp* и YouTube, а также рассылают ссылки через телеграм-каналы от имени реальных организаций и через фишинговые сайты. К примеру, пользователям присылали сообщение от настоящих гостиниц, предлагая взглянуть на фото номеров перед заселением.
Ничего не подозревающий пользователь попадает на поддельную страницу. Там он видит подсказки по «установке обновления» и, если решит им следовать, то сам инсталлирует APK на свое устройство. И тогда телефон превращается в средство шпионажа и рассылки, поскольку ClayRat способен на многое: от кражи смс до звонков на другие телефоны от имени жертвы.
Эволюция нового вируса ClayRat
Вирус ClayRat, по отзывам специалистов, меняет свой код при каждом новом заражении, иными словами, он мутирует, чтобы избежать обнаружения антивирусными программами. За три месяца выявлено более 600 образцов вируса и 50 различных дропперов, что свидетельствует о стремительной эволюции ClayRat.
Более того, вирус злоупотребляет системными привилегиями Android, в частности ролью основного обработчика смс, и в результате этого вредная программа обходит запросы разрешений и беспрепятственно читает, сохраняет и пересылает сообщения.
Как не «занести» ClayRat на телефон
Правоохранители призывают граждан скачивать приложения исключительно из официальных источников и не переходить по подозрительным ссылкам, особенно из сообщений в мессенджерах и социальных сетях.
Чтобы защититься от ClayRat, устанавливать приложения необходимо из проверенных магазинов. Это прежде всего российский RuStore, в котором каждое приложение проходит проверку безопасности. Из аналогичных зарубежных систем — Google Play, Galaxy Store, Huawei AppGallery и F-Droid.
ИТ-специалист: «Цель ClayRat — собрать данные с девайсов россиян»
В разговоре с «Ямал-Медиа» директор и партнер компании «Интеллектуальный Резерв» («ИТ-Резерв») Павел Мясников отметил, что речь идет об очень серьезном вредоносном программном обеспечении. В частности, написан большой код, имеются разные вариации программного обеспечения. Чтобы запустить такой вирус в короткие сроки, требуются большие инвестиции в созданный продукт.
«Мы допускаем, что здесь есть какой-то политический заказ, — сообщил специалист. — Сама по себе методика внедрения не нова. У вас появляется под каким-нибудь красивым заголовком файл в переписке, в каком-нибудь чате, вы его скачиваете, и за этим файлом скрывается на самом деле APK-архив, который раскрывается и инсталлирует шпионскую программу вам на девайс. Процесс инсталляции обрамлен красивыми интерфейсами, из-за чего пользователь может и не понять, что установил вирус».
По словам Мясникова, пока прямой взаимосвязи с появлением на смартфоне вируса и хищением денег пользователя не прослеживается. Но он может украсть какую-то информацию, которая будет использована для похищения денег. Однако цель шпиона, на взгляд программиста, возможно, в другом. А именно — в попытке собрать побольше информации с девайсов российских граждан, потому что вирус двигается по России.
«Чтобы обезопасить себя, необходимо скачивать программы только из достоверных источников. То есть, если вы пользуетесь андроидами, то забудьте о скачивании программ с сайтов. У вас есть официальные магазины приложений, какой-нибудь Google Play, Samsung Store и так далее. У каждого бренда есть свой магазин приложений и он предустановлен на девайсе. Опять же , есть RuStore. Еще рекомендую использовать антивирусы — это универсальный инструмент, и он помогает в принципе не задумываться о потенциальных риска. Антивирусы обычно очень быстро адаптируются к новым каким-то вирусным трендам и начинают их блокировать», — подчеркнул Павел Мясников.
* Корпорация Meta Platforms, которой принадлежат Facebook, Instagram, WhatsApp и Oculus, признана в РФ экстремистской организацией, ее деятельность запрещена на территории РФ.