Chiến dịch mã độc spyware Android ClayRat đã gia tăng hoạt động mạnh mẽ trong ba tháng qua, với các nhà nghiên cứu zLabs ghi nhận hơn 600 mẫu độc đáo và 50 dropper riêng biệt. Đây là một mối đe dọa đang phát triển nhanh chóng.

Tổng quan về Chiến dịch ClayRat

Mục tiêu và Phương thức Lây nhiễm

ClayRat chủ yếu nhắm mục tiêu vào người dùng tại Nga. Phần mềm độc hại này ngụy trang dưới dạng các ứng dụng phổ biến như WhatsApp, Google Photos, TikTok và YouTube.

ClayRat là một loại mã độc spyware Android đang phát triển nhanh chóng, lôi kéo nạn nhân cài đặt các tệp APK độc hại thông qua các kênh Telegram lừa đảo và website phishing.

Khả năng Giám sát và Thu thập Dữ liệu

Sau khi được cài đặt, ClayRat sẽ đánh cắp các tin nhắn SMS, nhật ký cuộc gọi, thông báo và thông tin chi tiết về thiết bị. Mã độc này cũng có khả năng chụp ảnh bằng camera trước.

Ngoài ra, ClayRat có thể gửi tin nhắn SMS hoặc thực hiện cuộc gọi trực tiếp từ thiết bị của nạn nhân. Điều này biến mỗi thiết bị bị nhiễm thành một trung tâm giám sát và phát tán mạnh mẽ của mã độc spyware Android.

Kỹ thuật Lừa đảo và Lây lan trong Tấn công Mạng

Lừa đảo qua Kênh Telegram và Website Giả mạo

Chiến dịch này dựa vào sự kết hợp tinh vi giữa kỹ thuật xã hội và lừa đảo dựa trên web để khai thác lòng tin của người dùng.

Những kẻ tấn công đăng ký các tên miền giả mạo—ví dụ như trang đích GdeDPS giả—để chuyển hướng người truy cập đến các kênh Telegram nơi tệp APK độc hại được lưu trữ.

Các kênh này được gieo rắc bằng các bằng chứng xã hội dàn dựng, bao gồm bình luận tích cực bịa đặt, số lượt tải xuống được thổi phồng và lời chứng thực người dùng giả mạo. Điều này nhằm giảm sự nghi ngờ và thúc đẩy tỷ lệ cài đặt.

Quy trình Cài đặt Lừa đảo

Trong một số trường hợp, nạn nhân được hướng dẫn qua một luồng cài đặt theo kiểu phiên, bắt chước các màn hình cập nhật chính thức của Android.

Các hướng dẫn từng bước đơn giản nhắc nhở người dùng cho phép cài đặt từ các nguồn không xác định, bỏ qua các cảnh báo bảo mật tích hợp.

Các trang web lừa đảo mạo danh các dịch vụ hợp pháp—như một cổng “YouTube Plus”—để lưu trữ mã độc spyware Android dưới dạng các tiện ích bổ sung tính năng hoặc bản cập nhật.

Kỹ thuật Dropper và Xóa bỏ Dấu vết

Các dropper tiếp tục che giấu payload thực sự bằng cách hiển thị giao diện cập nhật Google Play giả trong khi tải một mô-đun spyware được mã hóa từ tài nguyên của ứng dụng.

Zimperium đã phát hiện ClayRat từ những mẫu đầu tiên, sử dụng các mô hình học máy hành vi trên thiết bị để xác định hoạt động bất thường trước khi các bản cập nhật signature được phát hành. Tham khảo thêm về phân tích ClayRat trên blog của Zimperium: Phân tích ClayRat của Zimperium.

Chiến thuật Né tránh Phát hiện của Mã độc Spyware Android ClayRat

Nâng cao Khả năng Né tránh

Các nhà điều hành ClayRat liên tục tăng cường khả năng chống phát hiện của mã độc spyware Android. Mỗi biến thể mới đều tích hợp thêm các lớp che giấu và đóng gói.

Một biến thể đã chèn chuỗi đánh dấu “apezdolskynet” vào các payload được mã hóa Base64. Một biến thể khác lại sử dụng mã hóa AES-GCM cho giao tiếp C2 (Command-and-Control) của nó.

Lạm dụng Quyền SMS trên Android 13

Để vượt qua mô hình quyền chặt chẽ hơn của Android 13, phần mềm độc hại lạm dụng vai trò trình xử lý SMS mặc định. Điều này cấp cho mã độc spyware Android quyền truy cập SMS rộng rãi mà không cần kích hoạt lời nhắc cho từng quyền.

Sự ủy quyền duy nhất này cho phép ClayRat đọc tất cả tin nhắn đến và tin nhắn đã lưu, gửi SMS mới mà không cần xác nhận, chặn các sự kiện SMS trước khi gửi đến các ứng dụng khác, và sửa đổi cơ sở dữ liệu SMS.

Lệnh Điều khiển và Kiểm soát (C2)

Ngay khi được kích hoạt, mã độc spyware Android này sẽ chụp ảnh ngay lập tức qua camera trước và gửi chúng đến máy chủ C2 của nó.

Nó hỗ trợ một bộ lệnh từ xa toàn diện để điều khiển thiết bị bị nhiễm.

Là đối tác của App Defense Alliance, Zimperium đã chia sẻ phát hiện với Google, đảm bảo Google Play Protect tự động bảo vệ người dùng khỏi các biến thể ClayRat đã biết.

Zimperium cũng xác định hơn 50 mẫu trong đó phần mềm độc hại ngụy trang thành ứng dụng dropper để bỏ qua các hạn chế của Android.

Biện pháp Phòng ngừa và Giảm thiểu Rủi ro Bảo mật

Lời khuyên cho Người dùng Cuối

• Tắt tính năng cài đặt từ các nguồn không xác định trên thiết bị di động.
• Cẩn thận kiểm tra các ứng dụng trước khi cài đặt từ bên ngoài (sideloading) để tránh tải về mã độc spyware Android.
• Nhanh chóng áp dụng các bản cập nhật chính thức của hệ điều hành và ứng dụng từ các nguồn đáng tin cậy.

Khuyến nghị cho Doanh nghiệp

Các doanh nghiệp nên thực thi các chính sách quản lý ứng dụng di động (MAM) chặt chẽ để hạn chế việc gán trình xử lý SMS mặc định cho chỉ các ứng dụng đáng tin cậy.

Hợp tác trong An ninh Mạng

Sự cảnh giác liên tục và sự hợp tác giữa các nhà cung cấp bảo mật và nhà cung cấp nền tảng vẫn là điều cần thiết để chống lại sự phát triển nhanh chóng của ClayRat và ngăn chặn sự lây lan rộng rãi của mã độc spyware Android này.