ClayRat возвращается: Android-шпион научился блокировать удаление

ClayRat возвращается: Android-шпион научился блокировать удаление

ClayRat возвращается: Android-шпион научился блокировать удаление

Исследователи из Zimperium сообщили о возвращении известного Android-шпиона ClayRat — и новом уровне его возможностей. Если раньше это был сравнительно простой инфостилер, то теперь он превратился в полноценный инструмент слежки, который не только собирает информацию, но и активно сопротивляется попыткам удалить его с устройства.

ClayRat впервые обнаружили в октябре 2024 года: тогда он умел воровать СМС и журналы звонков — неприятно, но типично.

Однако новая версия, как отмечают аналитики zLabs, получила «значительно расширенную функциональность».

Главное изменение — использование специальных возможностей ОС Android. Эти механизмы предназначены для помощи людям с ограниченными возможностями, но злоумышленники всё чаще используют их как универсальный доступ ко всему интерфейсу устройства. В случае ClayRat это позволило внедрить кейлоггер, считывать ПИН-коды, пароли и даже автоматически снимать блокировку экрана.

Но более тревожным стало то, что ClayRat научился обороняться. Если пользователь попытается удалить приложение, оно блокирует нажатия, имитируя «тапы» по системным кнопкам — фактически мешая выключить смартфон или удалить заражённое приложение. Параллельно троян накладывает фальшивые оверлеи — например, «обновление системы», — чтобы скрыть происходящее на экране.

Для заражения ClayRat маскируется под известные сервисы — видеоплатформы, мессенджеры, региональные приложении вроде такси или парковки.

Исследователи нашли более 25 доменов-приманок, включая фальшивые версии «YouTube Pro» и автомобильного диагностического приложения «Car Scanner ELM». Дополнительно злоумышленники используют Dropbox для распространения APK-файлов, чтобы обойти веб-фильтры.

 

После установки ClayRat получает контроль над смартфоном: записывает экран через MediaProjection API, перехватывает пользовательские ответы на уведомления и подменяет их, что помогает красть одноразовые коды и вмешиваться в переписки.

Zimperium отмечает, что обновлённый ClayRat стал заметно опаснее прежнего. Его возможности показывают, насколько стремительно эволюционируют мобильные угрозы — и почему классических мер защиты уже недостаточно.

Напомним, в России ClayRat был обнаружен ещё в октябре. Тогда вредонос маскировался под WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России), TikTok, Google Photos и YouTube.

Кроме того, на прошлой неделе мы писали, что киберполиция задержала учащегося Краснодарского кооперативного института, которого обвиняют в ClayRat.

ЕС ввел санкции против VK из-за мессенджера МАКС

Евросоюз внес VK в санкционный список. Под ограничения попала компания, которой принадлежат «ВКонтакте», «Одноклассники» и другие российские цифровые сервисы. Поводом стал национальный мессенджер МАКС.

В Совете ЕС указали, что VK является материнской структурой ООО «Коммуникационная платформа» — компании-разработчика приложения.

Таким образом, европейские чиновники добрались не только до банков, заводов и нефтяных компаний, но и до российского ИТ. МАКС, который продвигают как национальную цифровую платформу, в итоге принес санкции всей группе VK.

Решение Совета ЕС опубликовано 13 июля в «Официальном журнале» Евросоюза. Какие именно последствия ограничения будут иметь для VK, ее сервисов и зарубежных партнеров, в сообщении не уточняется.

Получилась занятная цепочка: сделали национальный мессенджер — получили международные санкции.

Пресс-служба VK поделилась с Anti-Malware.ru следующим комментарием:

«Санкции ЕС не влияют на работу VK и МАХ. Приложения и сервисы доступны пользователям в привычном режиме».

RSS: Новости на портале Anti-Malware.ru