Опасный вирус-шпион для Android научился обходить удаление

Исследователи Zimperium обнаружили обновленную версию Android-трояна ClayRat с существенно расширенными возможностями. Ранее вредонос представлял собой сравнительно простой инфостилер, ориентированный на сбор СМС и журналов звонков, однако теперь он превратился в полноценный инструмент слежки с защитой от удаления.

Как передает Day.Az со ссылкой на Gazeta.ru, об этом сообщает Anti-Malware.

ClayRat впервые был выявлен в октябре 2024 года, тогда его действия ограничивались кражей базовой информации. В обновленной версии злоумышленники используют специальные возможности операционной системы Android, предназначенные для помощи людям с ограниченными возможностями, что позволяет получить полный доступ к интерфейсу устройства. Среди новых функций - кейлоггер, считывание ПИН-кодов и паролей, а также автоматическое снятие блокировки экрана.

Кроме того, аналитики zLabs отмечают способность трояна противодействовать попыткам удаления: ClayRat блокирует нажатия и имитирует действия пользователя, мешая выключению устройства или удалению приложения. Вредонос также использует фальшивые оверлеи, например, окно с фейковым обновлением системы, чтобы скрыть происходящее на экране.

Для распространения ClayRat маскируется под популярные приложения - видеоплатформы, мессенджеры и локальные сервисы такси или парковки. Zimperium зафиксировала более 25 доменов-приманок, включая поддельные версии YouTube Pro и приложения для диагностики автомобилей Car Scanner ELM. Кроме того, злоумышленники используют Dropbox для распространения APK-файлов, обходя веб-фильтры.

После установки троян получает контроль над устройством: записывает экран через MediaProjection API, перехватывает и подменяет ответы на уведомления, что позволяет похищать одноразовые коды и вмешиваться в переписки пользователей.

Эксперты Zimperium подчеркивают, что обновленный ClayRat демонстрирует рост опасности мобильных угроз и показывает, что традиционные меры защиты уже неэффективны.