Una campaña de software agente para Android en rápida cambio señal ArcillaRata se ha dirigido a usuarios en Rusia utilizando una combinación de canales de Telegram y sitios web de phishing similares haciéndose sobrevenir por aplicaciones populares como WhatsApp, Google Photos, TikTok y YouTube como señuelos para instalarlas.
“Una vez activo, el software agente puede filtrar mensajes SMS, registros de llamadas, notificaciones e información del dispositivo; tomar fotografías con la cámara primero; e incluso mandar mensajes SMS o realizar llamadas directamente desde el dispositivo de la víctima”, dijo el investigador de Zimperium, Vishnu Pratapagiri, en un referencia compartido con The Hacker News.
El malware incluso está diseñado para propagarse enviando enlaces maliciosos a cada contacto en la consejero telefónica de la víctima, lo que indica tácticas agresivas por parte de los atacantes para disfrutar los dispositivos comprometidos como vector de distribución.
La compañía de seguridad móvil dijo que ha detectado no menos de 600 muestras y 50 goteros en los últimos 90 días, y que cada iteración sucesiva incorpora nuevas capas de ofuscación para eludir los esfuerzos de detección y adelantarse a las defensas de seguridad. El nombre del malware es una relato al panel de comando y control (C2) que se puede utilizar para gobernar de forma remota los dispositivos infectados.
La prisión de ataque implica redirigir a los visitantes desprevenidos a estos sitios falsos a canales de Telegram bajo el control del adversario, desde donde se les engaña para que descarguen archivos APK inflando artificialmente el recuento de descargas y compartiendo testimonios fabricados como prueba de su popularidad.
En otros casos, se ha descubierto que sitios web falsos que afirman ofrecer “YouTube Plus” con funciones premium alojan archivos APK que pueden eludir las protecciones de seguridad impuestas por Google para evitar la descarga de aplicaciones en dispositivos con Android 13 y versiones posteriores.
“Para evitar las restricciones de la plataforma y la fricción adicional introducida en las versiones más nuevas de Android, algunas muestras de ClayRat actúan como cuentagotas: la aplicación visible es simplemente un instalador etéreo que muestra una pantalla de aggiornamento falsa de Play Store, mientras que la carga útil cifrada existente está oculta adentro de los activos de la aplicación”, dijo la compañía. “Este método de instalación basado en sesiones reduce el aventura percibido y aumenta la probabilidad de que una encuentro a una página web resulte en la instalación de software agente”.
Una vez instalado, ClayRat utiliza HTTP unificado para comunicarse con su infraestructura C2 y solicita a los usuarios que la conviertan en la aplicación de SMS predeterminada para obtener acercamiento a contenido confidencial y funciones de correo, lo que le permite capturar de forma estafa registros de llamadas, mensajes de texto, notificaciones y difundir el malware a todos los demás contactos.
Algunas de las otras características del malware incluyen realizar llamadas telefónicas, obtener información del dispositivo, tomar fotografías con la cámara del dispositivo y mandar una cinta de todas las aplicaciones instaladas al servidor C2.
ClayRat es una amenaza potente no sólo por sus capacidades de vigilancia, sino incluso por su capacidad para convertir un dispositivo infectado en un nodo de distribución de forma automatizada, lo que permite a los actores de la amenaza ampliar su envergadura rápidamente sin ninguna intervención manual.
El mejora se produce cuando académicos de la Universidad de Luxemburgo y la Universidad Cheikh Anta Diop descubrieron que las aplicaciones preinstaladas de los teléfonos inteligentes Android económicos vendidos en África operan con privilegios elevados, con un paquete proporcionado por el proveedor que transmite identificadores de dispositivo y detalles de ubicación a un tercero extranjero.
El estudio examinó 1.544 APK recopilados de siete teléfonos inteligentes africanos y encontró que “145 aplicaciones (9%) revelan datos confidenciales, 249 (16%) exponen componentes críticos sin garantías suficientes y muchas presentan riesgos adicionales: 226 ejecutan comandos privilegiados o peligrosos, 79 interactúan con mensajes SMS (repasar, mandar o eliminar) y 33 realizan operaciones de instalación silenciosas”.
