Android to najpopularniejszy system mobilny na świecie i jednocześnie jedno z najczęściej atakowanych środowisk. Niedawne obserwacje badaczy z Zimperium pokazują, jak szybko rozwija się kampania spyware o nazwie ClayRat. Ta rodzina złośliwego oprogramowania nie tylko kradnie dane, ale teraz potrafi przejąć kontrolę nad urządzeniem na poziomie, który jeszcze niedawno wydawał się możliwy tylko w filmach.
W czystym ujęciu to nie jest zwykły malware do szpiegowania SMS-ów. To narzędzie, które dzięki nowym technikom wykorzystuje luki w samym systemie Android, potrafi nagrywać ekran, odczytywać kod PIN i przechwytywać aktywność użytkownika, często bez jego świadomości.
Poniżej opisuję, jak działa ta kampania, dlaczego jest tak groźna i jakie konsekwencje może mieć dla zwykłych użytkowników oraz firm.
Jak wygląda nowy ClayRat i jak się rozprzestrzenia
ClayRat to rodzina spyware po raz pierwszy zidentyfikowana przez zLabs w październiku 2025 roku. Od tamtego czasu zespół badawczy Zimperium zaobserwował, że ten szkodliwy kod ewoluował i zdobył nowe, znacznie bardziej zaawansowane zdolności.
Malware ten podszywa się pod znane aplikacje i usługi, w tym popularne platformy wideo i komunikatory, a także lokalne aplikacje — np. rosyjskie usługi taksówkowe czy parkingowe — żeby skłonić ofiarę do instalacji.
Proces infekcji zwykle zaczyna się od phishingu lub fałszywej strony, która wygląda jak oryginalna, ale zamiast prawdziwej aplikacji oferuje zainfekowany plik APK. Badania wskazują już ponad 700 unikalnych pakietów APK rozpowszechnianych w bardzo krótkim czasie.
Po instalacji malware prosi ofiarę o bardzo szerokie uprawnienia, w tym dostęp do SMS-ów oraz funkcji ułatwień dostępu – Accessibility Services. To właśnie ten drugi komponent daje ClayRat znacznie większą kontrolę nad urządzeniem niż zwykły spyware.
Jak ClayRat wykorzystuje uprawnienia i co może zrobić na urządzeniu
To, co naprawdę wyróżnia nową wersję ClayRat, to sposób, w jaki wykorzystuje uprawnienia, które użytkownik rzekomo sam przyznał. Malware działa na wielu frontach:
Przejęcie kontroli nad ekranem
Po uzyskaniu dostępu do Accessibility Services, ClayRat nie tylko potrafi monitorować działania użytkownika. Potrafi:
- Nagrywać ekran poprzez MediaProjection API i przesyłać jego treść do serwera operatora,
- Wyświetlać różne nakładki (ang. overlays) na ekranie, np. fałszywe komunikaty o aktualizacji systemu, które ukrywają jego działania.
Nakładki te mogą uniemożliwić przeciętnemu użytkownikowi nawet wyłączenie urządzenia czy usunięcie aplikacji.
Przechwytywanie PIN/hasła/patternu
ClayRat potrafi czytać interakcje na ekranie blokady urządzenia. Może:
- Nagrywać wprowadzane PINy lub hasła,
- Analizować gesty patternu,
- Następnie używać tych danych do automatycznego odblokowania urządzenia.
Te dane są zapisywane lokalnie i mogą być wysyłane na serwer operatora malware.
Kraść dane i funkcje
Po uzyskaniu odpowiednich uprawnień spyware może:
- Przechwytywać SMS-y i logi rozmów,
- Kraść aktywne powiadomienia i odpowiedzi wpisywane w fałszywych alertach,
- Wysyłać masowe SMS-y do kontaktów w telefonie,
- Wykonywać połączenia telefoniczne,
- Zdalnie wpisywać teksty lub wykonywać gesty, klikając elementy interfejsu bez wiedzy użytkownika
To oznacza, że zwykłe urządzenie mobilne może zostać zamienione w narzędzie szpiegowskie praktycznie pełnego zasięgu.
Sposoby ukrywania i utrzymania kontroli
ClayRat nie tylko kradnie dane — potrafi też aktywnie sabotować próbę wykrycia lub usunięcia go:
- Po przyznaniu uprawnień malware wyłącza Google Play Protect poprzez zautomatyzowane kliknięcia,
- Używa nakładek, które ukrywają jego działania,
- Korzysta z wielu komend, które pozwalają mu programować gesty automatycznie, blokować ekran, czy utrzymywać się w systemie.
To bardzo sprytne wykorzystanie uprawnień Accessibility, które Google projektowało w celu poprawy dostępności, a nie jako furtkę dla złośliwego oprogramowania.
Jak ClayRat rozprzestrzenia się technicznie
Nie tylko phishing jest ważny. Badacze zauważyli, że:
- Malware używa wielu fałszywych domen phishingowych (ponad 25 różnych zidentyfikowanych), które wyglądają jak prawdziwe strony popularnych usług,
- Część z nich imituje serwisy takie jak YouTube lub aplikacje narzędziowe,
- Niektóre pliki są hostowane na legalnych usługach, jak Dropbox, co uśpi czujność użytkownika
To pokazuje, że autorzy malware są świadomi, że użytkownicy ufają znanym markom i usługom, więc wykorzystują je jako przykrywki.
Dlaczego ta kampania jest tak groźna dla ludzi i firm
ClayRat zagraża zarówno właścicielom prywatnych urządzeń, jak i firmom:
Zagrożenia dla zwykłych użytkowników
- Utrata prywatnych danych, w tym SMS-ów, haseł, PIN-ów i zdjęć,
- Możliwość nieautoryzowanego użycia telefonu do rozsyłania wiadomości lub wykonywania połączeń,
- Utrata kontroli nad własnym urządzeniem.
Na szczęście wiele antywirusów i narzędzi ochronnych, jak Google Play Protect, blokuje znane warianty, ale jeśli malware jest zainstalowane poza oficjalnym sklepem, Play Protect może być wyłączone lub ominęte przez takie zachowania jak automat klikający przyciski.
Skutki dla firm i MŚP
W środowisku biznesowym problem jest poważniejszy:
- Urządzenia pracowników narażone na przejęcie MFA i haseł dostępu do firmowych aplikacji,
- Możliwość przechwycenia komunikatów, które zawierają dane operacyjne lub finansowe,
- Szybkie rozprzestrzenianie się przez BYOD – jeśli pracownik używa prywatnego telefonu do firmowych zadań, malware może pośredniczyć w atakach na systemy firmowe.
Kluczowym ryzykiem jest to, że takie urządzenia mogą stać się „mostem” dla ataków na wewnętrzne systemy, omijając wiele tradycyjnych zabezpieczeń. Dodatkowo, w wielu przedsiębiorstwach brak polityk BYOD oznacza brak standardowych kontroli nad aplikacjami instalowanymi na urządzeniach pracowników.
Wnioski i praktyczne działania
ClayRat pokazuje, że współczesne ataki na urządzenia mobilne idą daleko poza prosty phishing czy kradzież SMS-ów. Nowoczesne spyware może:
- przejąć ekran,
- odczytać i wykorzystać dane uwierzytelniające użytkownika,
- wyłączyć mechanizmy bezpieczeństwa,
- i ukrywać własną obecność.
Dlatego każdy, kto korzysta z Androida, szczególnie w środowisku biznesowym powinien traktować bezpieczeństwo mobilne jako integralną część strategii cyberbezpieczeństwa.
Rady na koniec:
- Używaj tylko aplikacji z oficjalnych sklepów i upewniaj się, że mają aktualne opinie i recenzje,
- Nie instaluj APK z nieznanych źródeł i unikaj klikania linków z phishingu,
- W firmach rozważ wdrożenie rozwiązań MTD lub EDR, które monitorują zachowanie aplikacji i wykrywają nietypowe aktywności
| Źródła |
|---|
|
|
