Há uma nova campanha maliciosa em curso no universo Android e o propósito é apenas um. Querem roubar dados aos utilizadores e por isso simulam apps bem conhecidas que são, na verdade, versões alteradas e preparadas com malware. Este é apenas mais um caso e segue o que já vimos no passado. É preciso ter muito cuidado com o ClayRat no Android.
Continua após a publicidade
Malware esconde-se em apps Android conhecidas
Um novo malware chamado ClayRat está a visar os utilizadores do Android. Faz-se passar por aplicações populares como o WhatsApp, TikTok, YouTube e Google Fotos. O spyware, detectado pela empresa de segurança móvel Zimperium, está a ser espalhado através dos canais do Telegram e de sites falsos. Estes imitam portais oficiais para enganar as vítimas e fazê-las descarregar APK maliciosos.
Nos últimos três meses, os investigadores da Zimperium identificaram mais de 600 amostras e cerca de 50 instaladores distintos. Isto indica uma campanha ampla e em constante evolução. Os atacantes criam páginas de phishing com avaliações falsas, contadores de downloads inflacionados e uma interface que imita o Google Play, bem como instruções detalhadas para ignorar os avisos de segurança do Android.
Quando o utilizador instala o pacote malicioso, a aplicação pode exibir um ecrã de atualização falso enquanto executa o spyware em segundo plano. O ClayRat utiliza um método de instalação “baseado na sessão” que permite contornar algumas restrições introduzidas no Android 13 e versões posteriores, reduzindo a suspeita do utilizador.
Continua após a publicidade
É melhor ter muito cuidado com o ClayRat!
Uma vez ativo, o malware pode assumir privilégios avançados, como ler e extrair mensagens SMS , aceder aos registos de chamadas, tirar fotografias com a câmara frontal, capturar notificações e, com a permissão adequada, tornar-se a aplicação de SMS padrão, dando controlo total sobre as mensagens do dispositivo. Também pode enviar mensagens SMS em massa para os contactos da vítima e espalhar-se rapidamente.
O ClayRat comunica com os seus servidores de comando e controlo através de canais encriptados. Suporta vários comandos remotos para recuperar listas de aplicações instaladas, obter informações do dispositivo, reencaminhar mensagens ou iniciar chamadas.
A Zimperium partilhou os indicadores de compromisso (IoCs) com a Google, e o Play Protect bloqueou variantes conhecidas desde então. No entanto, os especialistas alertam que a campanha continua ativa e que os utilizadores devem evitar descarregar aplicações de links externos ou canais do Telegram.
Veja mais Notícias sobre o Android
Publicidade
