一款名为 ClayRat 的新式安卓间谍软件，正通过伪装成谷歌相册、TikTok、YouTube 等热点应用及工作，诈欺潜在受害者。

该坏心软件以俄罗斯用户为错误方针，错误渠说念包括 Telegram 频说念和看似正规的坏心网站。它粗略窃取短信、通话纪录、见告，还能拍摄相片，致使拨打电话。

出动安全公司 Zimperium 的坏心软件商议东说念主员暗示，在往日三个月里，他们已纪录到 600 多个该软件样本以及 50 个不同的投放步伐。这一数据标明，错误者正积极采选行动，扩大错误范围。

新式安卓间谍软件 ClayRat 错误行动

ClayRat 错误行动以该坏心软件的呐喊与适度（C2）工作器定名。该行动用全心思划的垂钓进口和已注册域名，这些进口和域名与正规工作页面高度相通。

这些网站要么径直提供安卓装置包文献（APK），要么将访客重定向至提供该文献的 Telegram 频说念，而受害者对此绝不知情。

为让这些网站显得确凿真实，错误者添加了失实批驳、虚增了下载量，还推敲了近似谷歌应用商店的失实用户界面，并附上怎么侧载 APK 文献以及绕过安卓安全警告的分步讲明。

在后台加载间谍软件的失实更新开首

Zimperium 指出，部分 ClayRat 坏心软件样本起到投放步伐的作用。用户看到的应用界面是失实的谷歌应用商店更新页面，而加密的灵验负载则荫藏在应用的资源文献中。

该坏心软件摄取"基于会话"的装置神气在设备中袒护，以此绕过安卓 13 及以上版块的系统收尾，并裁汰用户的怀疑。这种基于会话的装置神气裁汰了用户感知到的风险，进步了用户侦察某一网页后，间谍软件告成装置的可能性。

一朝在设备上激活，该坏心软件会将面前设备动作跳板，向受害者的关联东说念主列表发送短信，进而诈欺这一新"宿主"感染更多受害者。

Telegram 传播 ClayRat 植入步伐

ClayRat 间谍软件的功能

在受感染设备上，ClayRat 间谍软件会获取默许短信处罚步伐权限。这使得它粗略读取扫数收到的和已存储的短信，在其他应用之前防止短信，还能修改短信数据库。

ClayRat 成为默许的 SMS 处罚步伐

该间谍软件会与 C2 工作器拓荒通讯，其最新版块中摄取 AES-GCM 加密算法进行通讯加密。之后，它会经受 12 种营救的呐喊中的一种，具体呐喊如下：

·get_apps_list ——向 C2 工作器发送已装置应用列表

·get_calls ——发送通话纪录

·get_camera ——拍摄前置录像头相片并发送至工作器

·get_sms_list ——窃取短信

·messsms ——向扫数关联东说念主群发短信

·send_sms/make_call ——从设备发送短信或拨打电话

·notifications/get_push_notifications ——拿获见告和推送数据

·get_device_info ——网罗设备信息

·get_proxy_data ——获取代理 WebSocket 洽商，附加设备 ID，并运行化联接对象（将 HTTP/HTTPS 契约转化为 WebSocket 契约，同期安排任务本质）

·retransmishion ——向从 C2 工作器经受到的号码重发短信

一朝得回所需权限，该间谍软件会自动获取关联东说念主信息，并通过步伐编写短信，向扫数关联东说念主发送，从而完了大范围传播。

咫尺，Zimperium 已与 Google 分享了完满的 IoC，谷歌 Play Protect 当今能防止 ClayRat 间谍软件的已知版块和新式变种。但商议东说念主员强调，该错误行动范围精深，仅三个月内就纪录到了 600 多个关联样本足彩看盘app推荐，因此需要不息捏严慎格调应付。