کمیته رکن چهارم – یک جاسوسافزار جدید با نام ClayRat کاربران اندرویدی را هدف قرار داده و با استفاده از نسخههای جعلی اپلیکیشنهای محبوب مانند واتساپ و تیکتاک، اطلاعات حساس آنها را جمعآوری میکند و حتی از دستگاه قربانی برای گسترش خودکار استفاده میکند.
به گزارش کمیته رکن چهارم، ClayRat از طریق کانالهای تلگرام و وبسایتهای فیشینگ که ظاهر برنامههایی مانند YouTube Plus و Google Photos را تقلید میکنند، توزیع میشود. کاربران با مشاهده شمارش جعلی دانلودها و نظرات ساختگی، به دانلود فایلهای APK ترغیب میشوند. این فایلها ظاهر قانونی دارند اما پس از نصب، بدافزار اصلی بهصورت رمزگذاریشده فعال میشود.
پس از نصب، ClayRat اقدام به سرقت پیامکها، تاریخچه تماسها، اطلاعات دستگاه، و حتی گرفتن عکس از طریق دوربین سلفی میکند. همچنین با ارسال لینکهای آلوده به مخاطبین قربانی، خود را گسترش میدهد. این بدافزار میتواند بهعنوان اپلیکیشن پیشفرض پیامک تنظیم شود و ارتباط خود را از طریق HTTP با سرور فرماندهی حفظ کند.
این تهدید درحالیست که گوگل اعلام کرده Google Play Protect از کاربران در برابر نسخههای شناختهشده این بدافزار محافظت میکند. اما از آنجا که نصب این برنامهها از منابع خارج از پلی استور انجام میشود، کاربران همچنان در معرض خطرند.
گزارشی جداگانه از دانشگاههای لوکزامبورگ و سنگال نشان میدهد برخی اپلیکیشنهای از پیش نصبشده در گوشیهای ارزانقیمت آفریقایی نیز دارای سطوح دسترسی بالا و ناامن هستند، و همین موضوع ریسک استفاده از این دستگاهها را افزایش میدهد.
این جاسوسافزار با استفاده از تکنیکهای مهندسی اجتماعی، رابطهای جعلی و رمزگذاری پیشرفته، یکی از خطرناکترین جاسوسافزارهای فعلی برای کاربران اندروید محسوب میشود. هوشیاری کاربران در مواجهه با فایلهای مشکوک و دانلود نکردن اپلیکیشن از منابع ناشناس، تنها راه جلوگیری از آلوده شدن است.
