一款名为 ClayRat 的新型安卓间谍软件，正通过伪装成谷歌相册、TikTok、YouTube 等热门应用及服务，诱骗潜在受害者。

该恶意软件以俄罗斯用户为攻击目标，攻击渠道包括 Telegram 频道和看似正规的恶意网站。它能够窃取短信、通话记录、通知，还能拍摄照片，甚至拨打电话。

移动安全公司 Zimperium 的恶意软件研究人员表示，在过去三个月里，他们已记录到 600 多个该软件样本以及 50 个不同的投放程序。这一数据表明，攻击者正积极采取行动，扩大攻击规模。

新型安卓间谍软件 ClayRat 攻击行动

ClayRat 攻击行动以该恶意软件的命令与控制（C2）服务器命名。该行动用精心设计的钓鱼入口和已注册域名，这些入口和域名与正规服务页面高度相似。

这些网站要么直接提供安卓安装包文件（APK），要么将访客重定向至提供该文件的 Telegram 频道，而受害者对此毫不知情。

为让这些网站显得真实可信，攻击者添加了虚假评论、虚增了下载量，还设计了类似谷歌应用商店的虚假用户界面，并附上如何侧载 APK 文件以及绕过安卓安全警告的分步说明。

在后台加载间谍软件的虚假更新来源

Zimperium 指出，部分 ClayRat 恶意软件样本起到投放程序的作用。用户看到的应用界面是虚假的谷歌应用商店更新页面，而加密的有效负载则隐藏在应用的资源文件中。

该恶意软件采用 " 基于会话 " 的安装方式在设备中潜伏，以此绕过安卓 13 及以上版本的系统限制，并降低用户的怀疑。这种基于会话的安装方式降低了用户感知到的风险，提高了用户访问某一网页后，间谍软件成功安装的可能性。

一旦在设备上激活，该恶意软件会将当前设备作为跳板，向受害者的联系人列表发送短信，进而利用这一新 " 宿主 " 感染更多受害者。

Telegram 传播 ClayRat 植入程序

ClayRat 间谍软件的功能

在受感染设备上，ClayRat 间谍软件会获取默认短信处理程序权限。这使得它能够读取所有收到的和已存储的短信，在其他应用之前拦截短信，还能修改短信数据库。

ClayRat 成为默认的 SMS 处理程序

该间谍软件会与 C2 服务器建立通信，其最新版本中采用 AES-GCM 加密算法进行通信加密。之后，它会接收 12 种支持的命令中的一种，具体命令如下：

·get_apps_list ——向 C2 服务器发送已安装应用列表

·get_calls ——发送通话记录

·get_camera ——拍摄前置摄像头照片并发送至服务器

·get_sms_list ——窃取短信

·messsms ——向所有联系人群发短信

·send_sms/make_call ——从设备发送短信或拨打电话

·notifications/get_push_notifications ——捕获通知和推送数据

·get_device_info ——收集设备信息

·get_proxy_data ——获取代理 WebSocket 链接，附加设备 ID，并初始化连接对象（将 HTTP/HTTPS 协议转换为 WebSocket 协议，同时安排任务执行）

·retransmishion ——向从 C2 服务器接收到的号码重发短信

一旦获得所需权限，该间谍软件会自动获取联系人信息，并通过程序编写短信，向所有联系人发送，从而实现大规模传播。

目前，Zimperium 已与 Google 共享了完整的 IoC，谷歌 Play Protect 现在能拦截 ClayRat 间谍软件的已知版本和新型变种。但研究人员强调，该攻击行动规模庞大，仅三个月内就记录到了 600 多个相关样本，因此需要继续持谨慎态度应对。