Una campaña de software espía para Android en rápida evolución llamada ArcillaRata se ha dirigido a usuarios en Rusia utilizando una combinación de canales de Telegram y sitios web de phishing similares haciéndose pasar por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube como señuelos para instalarlas.
«Una vez activo, el software espía puede filtrar mensajes SMS, registros de llamadas, notificaciones e información del dispositivo; tomar fotografías con la cámara frontal; e incluso enviar mensajes SMS o realizar llamadas directamente desde el dispositivo de la víctima», dijo el investigador de Zimperium, Vishnu Pratapagiri. dicho en un informe compartido con The Hacker News.
El malware también está diseñado para propagarse enviando enlaces maliciosos a cada contacto en la guía telefónica de la víctima, lo que indica tácticas agresivas por parte de los atacantes para aprovechar los dispositivos comprometidos como vector de distribución.
La compañía de seguridad móvil dijo que ha detectado no menos de 600 muestras y 50 goteros en los últimos 90 días, y que cada iteración sucesiva incorpora nuevas capas de ofuscación para eludir los esfuerzos de detección y adelantarse a las defensas de seguridad. El nombre del malware es una referencia al panel de comando y control (C2) que se puede utilizar para administrar de forma remota los dispositivos infectados.
La cadena de ataque implica redirigir a los visitantes desprevenidos a estos sitios falsos a canales de Telegram bajo el control del adversario, desde donde se les engaña para que descarguen archivos APK inflando artificialmente el recuento de descargas y compartiendo testimonios fabricados como prueba de su popularidad.
En otros casos, se ha descubierto que sitios web falsos que afirman ofrecer «YouTube Plus» con funciones premium alojan archivos APK que pueden eludir protecciones de seguridad impuesta por Google para evitar la descarga de aplicaciones en dispositivos con Android 13 y versiones posteriores.
«Para evitar las restricciones de la plataforma y la fricción adicional introducida en las versiones más nuevas de Android, algunas muestras de ClayRat actúan como cuentagotas: la aplicación visible es simplemente un instalador liviano que muestra una pantalla de actualización falsa de Play Store, mientras que la carga útil cifrada real está oculta dentro de los activos de la aplicación», dijo la compañía. «Este método de instalación basado en sesiones reduce el riesgo percibido y aumenta la probabilidad de que una visita a una página web resulte en la instalación de software espía».
Una vez instalado, ClayRat utiliza HTTP estándar para comunicarse con su infraestructura C2 y solicita a los usuarios que la conviertan en la aplicación de SMS predeterminada para obtener acceso a contenido confidencial y funciones de mensajería, lo que le permite capturar de forma encubierta registros de llamadas, mensajes de texto, notificaciones y difundir el malware a todos los demás contactos.
Algunas de las otras características del malware incluyen realizar llamadas telefónicas, obtener información del dispositivo, tomar fotografías con la cámara del dispositivo y enviar una lista de todas las aplicaciones instaladas al servidor C2.
ClayRat es una amenaza potente no sólo por sus capacidades de vigilancia, sino también por su capacidad para convertir un dispositivo infectado en un nodo de distribución de forma automatizada, lo que permite a los actores de la amenaza ampliar su alcance rápidamente sin ninguna intervención manual.
El desarrollo se produce cuando académicos de la Universidad de Luxemburgo y la Universidad Cheikh Anta Diop descubrieron que las aplicaciones preinstaladas de los teléfonos inteligentes Android económicos vendidos en África operan con privilegios elevados, con un paquete proporcionado por el proveedor que transmite identificadores de dispositivo y detalles de ubicación a un tercero externo.
El estudio examinó 1.544 APK recopilados de siete teléfonos inteligentes africanos. descubrimiento que «145 aplicaciones (9%) revelan datos confidenciales, 249 (16%) exponen componentes críticos sin garantías suficientes y muchas presentan riesgos adicionales: 226 ejecutan comandos privilegiados o peligrosos, 79 interactúan con mensajes SMS (leer, enviar o eliminar) y 33 realizan operaciones de instalación silenciosas».
Fuente