Malware Android Disfarça-se de WhatsApp, TikTok e YouTube

Um novo malware para Android, chamado ClayRat, está se disfarçando de aplicativos populares como WhatsApp, TikTok, YouTube e Google Fotos para enganar usuários e roubar seus dados. A campanha maliciosa, que tem como alvo principal usuários na Rússia, se espalha através de canais do Telegram e sites falsos que imitam portais oficiais.

Como o ClayRat Funciona

Os criminosos criam páginas de phishing com avaliações falsas, contadores de downloads inflacionados e uma interface que imita a Google Play Store. Eles também fornecem instruções detalhadas para que os usuários ignorem os avisos de segurança do Android.

Quando o usuário instala o pacote malicioso, o aplicativo pode exibir uma tela de atualização falsa enquanto executa o spyware em segundo plano. O ClayRat utiliza um método de instalação “baseado na sessão” que permite contornar algumas restrições introduzidas no Android 13 e versões posteriores, reduzindo a suspeita do usuário.

Veja também:

• Google reforça segurança Xiaomi com regra trimestral
• Xiaomi pode dificultar instalação de APKs? Entenda a mudança

Capacidades do Malware

Uma vez ativo, o ClayRat pode assumir privilégios avançados, como ler e extrair mensagens SMS, acessar os registros de chamadas, tirar fotografias com a câmara frontal, capturar notificações e, com a permissão adequada, tornar-se o aplicativo de SMS padrão, dando controlo total sobre as mensagens do dispositivo. Ele também pode enviar mensagens SMS em massa para os contatos da vítima.

O malware possui 12 funções específicas que permitem o acesso remoto total ao dispositivo da vítima. Entre elas, estão:

• Recuperar listas de aplicativos instalados
• Obter informações do dispositivo
• Reencaminhar mensagens
• Iniciar chamadas

O ClayRat transforma o smartphone em um dispositivo de espionagem completo, capaz de monitorar todas as atividades da vítima. Para o usuário comum, o impacto é alarmante: roubo de contas, invasão de privacidade e até fraudes financeiras podem ocorrer sem qualquer aviso.

Como se Proteger

Para se proteger do ClayRat e de outros malwares, especialistas recomendam:

• Evite baixar aplicativos fora da Google Play Store. Mesmo que um amigo envie o link ou o app pareça confiável, não instale arquivos APK de sites ou canais do Telegram.
• Desconfie de avaliações e contadores de download inflacionados. Verifique a autenticidade das informações antes de baixar qualquer aplicativo.
• Tenha cuidado com as permissões que você concede aos aplicativos. Não conceda permissões de SMS a aplicativos desconhecidos.
• Mantenha seu dispositivo Android atualizado. As atualizações de segurança corrigem vulnerabilidades que podem ser exploradas por malwares.
• Use um software antivírus móvel. Um bom antivírus pode ajudar a detectar e remover malwares do seu dispositivo.

A Zimperium compartilhou os indicadores de comprometimento (IoCs) com a Google, e o Play Protect bloqueou variantes conhecidas desde então. No entanto, os especialistas alertam que a campanha continua ativa e que os usuários devem permanecer vigilantes.

Campanha em Evolução

Nos últimos três meses, os investigadores da Zimperium identificaram mais de 600 amostras e cerca de 50 instaladores distintos. Isto indica uma campanha ampla e em constante evolução. Os atacantes criam páginas de phishing com avaliações falsas, contadores de downloads inflacionados e uma interface que imita o Google Play, bem como instruções detalhadas para ignorar os avisos de segurança do Android.

Para contornar as restrições da plataforma e o atrito adicional introduzido nas versões mais recentes do Android, algumas amostras do ClayRat atuam como droppers: o aplicativo visível é meramente um instalador leve que exibe uma tela falsa de atualização da Play Store, enquanto o payload real criptografado está oculto nos recursos do aplicativo. Este método de instalação baseado em sessão diminui o risco percebido e aumenta a probabilidade de que uma visita à página da web resulte na instalação do spyware.

O Perigo da Propagação

Uma importante forma de propagação nesta campanha é a capacidade do malware de transformar a lista de contatos da vítima em uma arma. Ao receber um comando de seu servidor de comando e controle (C2), o malware compõe “Узнай первым! <link>” (Inglês: “Seja o primeiro a saber! <link>”) e, usando as permissões SEND_SMS e READ_CONTACTS, coleta automaticamente a lista de contatos da vítima e entrega o link malicioso para cada entrada.

Conclusão

O ClayRat é um malware perigoso que pode comprometer seriamente a privacidade e a segurança dos usuários de Android. Ao seguir as dicas de segurança e permanecer vigilante, você pode se proteger contra esta e outras ameaças.

- Continua após publicidade -