برز نوع جديد من برامج التجسس على أجهزة أندرويد يعرف باسم ClayRat كتهديد خطير لأمن الأجهزة المحمولة عالمياً. تم اكتشاف هذا البرمجيات الخبيثة لأول مرة في أكتوبر من قبل فريق zLabs، وهي تمثل تطوراً مقلقاً في تهديدات الأجهزة المحمولة بقدرات تسمح للمهاجمين بالسيطرة شبه الكاملة على الأجهزة المصابة.
يعمل ClayRat على سرقة بيانات شخصية حساسة بينما يبقى مخفياً عن الضحايا الذين قد يكتشفونه ويزيلونه. ينتشر هذا البرمجية الخبيثة بشكل أساسي عبر مواقع التصيد الاحتيالي، مع وجود أكثر من 25 نطاقاً احتيالياً نشطاً حالياً تستضيف ملفات ضارة، إضافة إلى خدمات التخزين السحابي مثل Dropbox التي تقوم بتوزيع البرمجية الخبيثة، مما يوسع نطاق انتشارها بشكل كبير.
قدرات ClayRat المتقدمة في التجسس على أجهزة أندرويد
اكتشف الباحثون بالفعل أكثر من 700 ملف APK فريد في إطار زمني قصير بشكل مثير للإعجاب، مما يشير إلى حملة توزيع واسعة النطاق.
تدخل هذه البرمجية الخبيثة إلى الأجهزة من خلال مطالبات تثبيت خادعة تطلب أذونات لميزات الرسائل القصيرة (SMS) وإمكانية الوصول. وظف ClayRat تقنية إسقاط متطورة لتجاوز قيود أمان أندرويد.
يتم تخزين الحمولة المشفرة في مجلد أصول التطبيق (assets folder)، وتستخدم فك تشفير AES/CBC بمفاتيح مضمنة لفك ضغط نفسها أثناء التشغيل، مما يجعل الكشف عليها أكثر صعوبة بالنسبة لإجراءات الأمان القياسية.
proporcionar access.
استغلال خدمات إمكانية الوصول للحفاظ على التواجد
بعد الحصول على الأذونات اللازمة، يقوم ClayRat بتعزيز صلاحياته عن طريق مطالبة المستخدمين بتمكين خدمات إمكانية الوصول إلى جانب أذونات الرسائل القصيرة الافتراضية. هذا المزيج من الأذونات يخلق نافذة خطيرة للمهاجمين لاستغلال الجهاز بشكل شامل.
يقوم ClayRat بتعطيل متجر Play Store تلقائيًا من خلال نقرات شاشة آلية، مما يزيل حماية Google Play Protect الأمنية دون علم المستخدم. كما يقوم برنامج التجسس بمراقبة جميع تفاعلات شاشة القفل، بما في ذلك ضغطات الأزرار وحركات الأنماط، ويتوصل إلى إعادة بناء رموز PIN وكلمات المرور والأنماط بدقة ملحوظة.
عندما يدخل الضحايا بيانات اعتمادهم، تلتقط البرمجية الخبيثة هذه المعلومات في SharedPreferences تحت المفتاح lock_password_storage. وباستخدام بيانات الاعتماد المخزنة، تقوم البرمجية الخبيثة بعد ذلك بتنفيذ أمر auto_unlock الذي يرسل إيماءات لفتح الجهاز تلقائيًا. وهذا يزيل تمامًا قدرة الضحية على اكتشاف الإصابة من خلال شاشة القفل.
باستخدام هذه التقنية، يضمن ClayRat استمرار الوصول بشكل دائم بغض النظر عن محاولات الإجراءات الأمنية للجهاز. بالإضافة إلى ذلك، تلتقط البرمجية الخبيثة صورًا باستخدام كاميرا الجهاز، وتسجل محتوى الشاشة عبر MediaProjection APIs، وتسرق الرسائل القصيرة وسجلات المكالمات، وتنشئ إشعارات وهمية لاعتراض ردود حساسة من المستخدمين، مما يجعله تهديدًا متكاملاً لأمن أجهزة أندرويد.