ClayRatスパイウェア

ClayRatとして知られる、急速に進化するAndroidスパイウェア攻撃キャンペーンが、特にロシアのユーザーにとって深刻な脅威となっています。攻撃者はTelegramチャンネルと類似のフィッシングサイトを巧みに利用し、WhatsApp、Googleフォト、TikTok、YouTubeなどの人気アプリを装って、被害者にマルウェアをインストールさせようとします。

ClayRatの拡散方法

攻撃チェーンは、何も知らないユーザーが、攻撃者が管理するTelegramチャンネルにリンクする不正なウェブサイトにリダイレクトされるところから始まります。被害者は、以下の方法で悪意のあるAPKファイルをダウンロードさせられます。

• 人工的に水増しされたダウンロード数
• アプリの人気を主張する捏造された証言

一部の悪質なサイトは、YouTube Plus などの人気アプリの拡張バージョンを提供するように見せかけ、Android 13 以降を実行しているデバイスのセキュリティ対策を回避するように設計された APK ファイルをホストしています。

ClayRatのサンプルの中には、ドロッパーとして機能し、偽のPlayストア更新画面を表示する軽量アプリを表示するものがあります。実際のペイロードは暗号化され、アプリのアセット内に隠されているため、マルウェアはプラットフォームの制限を回避し、インストール成功率を高めることができます。

悪意のある機能

ClayRat はインストールされると、さまざまな侵入機能を起動します。

• SMSメッセージ、通話記録、通知、デバイス情報を盗み出す
• フロントカメラで写真を撮影する
• 感染したデバイスから直接SMSメッセージを送信したり、電話をかけたりする
• インストールされているすべてのアプリケーションのリストを収集し、コマンドアンドコントロール（C2）サーバーに送信します。

このマルウェアは、被害者の電話帳に登録されているすべての連絡先に悪意のあるリンクを送信することで積極的に自己増殖し、侵害を受けたデバイスを事実上、自動配布ノードに変えます。

技術的な洗練

セキュリティ研究者は過去90日間で、ClayRatの600以上のサンプルと50以上のドロッパーを観察しました。新しいバージョンが登場するたびに難読化の層が追加され、検出が困難になっています。

C2インフラとの通信は標準のHTTPプロトコルに依存しており、マルウェアは機密コンテンツやメッセージ機能にアクセスするために、ユーザーにデフォルトのSMSアプリケーションを設定するよう要求します。これらの機能により、攻撃者は手動操作なしに監視を行い、マルウェアの攻撃範囲を拡大することができます。

保護措置

ClayRat は強力ですが、Google Play プロテクトによってその影響を軽減できます。Google Play プロテクトは、Google Play 開発者サービス搭載デバイスでデフォルトで有効化されています。Play プロテクトは、既知のマルウェアバージョンからユーザーを自動的に保護します。

ClayRatは二重の脅威を呈しています。被害者のデバイスをスパイすると同時に、マルウェア拡散のためのツールへと変貌させるのです。ソーシャルエンジニアリング、高度な回避技術、そして自動配布といった要素を巧みに組み合わせることで、Androidの脅威環境において強力な脅威となっています。