Eine neue und sich schnell entwickelnde Android-Spyware namens ClayRat bedroht Nutzer in Russland. Die Angreifer nutzen gefälschte Webseiten und Telegram-Kanäle, um die Schadsoftware zu verbreiten. Dabei tarnen sie die Spyware als beliebte Anwendungen wie WhatsApp, Google Fotos oder TikTok.
Einmal installiert, kann ClayRat sensible Daten wie SMS-Nachrichten, Anruflisten und Benachrichtigungen stehlen. Die Malware ist zudem in der Lage, sich selbstständig weiterzuverbreiten, indem sie bösartige Links an alle Kontakte des infizierten Geräts sendet.
Wichtige Erkenntnisse
- Eine neue Android-Spyware namens ClayRat zielt auf Nutzer in Russland ab.
- Die Verbreitung erfolgt über gefälschte Webseiten und Telegram-Kanäle, die bekannte Apps imitieren.
- ClayRat stiehlt persönliche Daten wie SMS, Anruflisten und Benachrichtigungen.
- Die Malware kann sich selbstständig an die Kontakte des Opfers weiterverbreiten.
- Google Play Protect bietet Schutz vor bekannten Versionen der Schadsoftware.
Verbreitungsmethoden von ClayRat
Die Angreifer hinter ClayRat setzen auf eine mehrstufige Strategie, um Nutzer zur Installation der Spyware zu verleiten. Zunächst werden Opfer auf Phishing-Webseiten gelockt, die das Design bekannter Marken wie YouTube oder Google nachahmen. Diese Seiten versprechen oft erweiterte Funktionen, wie zum Beispiel ein „YouTube Plus“ mit Premium-Features.
Von diesen Webseiten werden die Nutzer anschließend zu Telegram-Kanälen weitergeleitet. Dort versuchen die Betreiber, Vertrauen aufzubauen, indem sie künstlich erhöhte Download-Zahlen und gefälschte positive Nutzerbewertungen anzeigen. Ziel ist es, die Besucher zum Herunterladen einer APK-Datei zu bewegen, die die eigentliche Schadsoftware enthält.
Umgehung von Sicherheitsmaßnahmen
Die Entwickler von ClayRat haben Mechanismen integriert, um die Sicherheitsvorkehrungen moderner Android-Versionen zu umgehen. Einige Varianten der Malware sind speziell darauf ausgelegt, die Schutzfunktionen von Android 13 und neueren Versionen auszuhebeln, die das Sideloading von Apps aus unsicheren Quellen erschweren.
Dazu verwenden die Angreifer eine sogenannte Dropper-Technik. Die zunächst installierte App ist lediglich ein kleines Installationsprogramm. Diese App zeigt dem Nutzer einen gefälschten Update-Bildschirm des Google Play Stores an. Währenddessen wird im Hintergrund die eigentliche, verschlüsselte Spyware aus den App-Ressourcen entpackt und installiert. Dieser Prozess wird als „sitzungsbasierte Installation“ bezeichnet und soll das Risiko für den Nutzer geringer erscheinen lassen.
Was ist Sideloading?
Sideloading bezeichnet die Installation von mobilen Anwendungen (APK-Dateien bei Android) aus anderen Quellen als dem offiziellen App-Store, wie dem Google Play Store. Obwohl dies für Entwickler und fortgeschrittene Nutzer nützlich sein kann, birgt es erhebliche Sicherheitsrisiken, da die Apps keiner Sicherheitsprüfung durch Google unterzogen werden.
Funktionen und Gefahren der Spyware
Sobald ClayRat auf einem Gerät aktiv ist, beginnt die Malware mit der Datensammlung. Sie kommuniziert über eine unverschlüsselte HTTP-Verbindung mit einem Command-and-Control-Server (C2), der von den Angreifern kontrolliert wird. Der Name „ClayRat“ leitet sich vom Administrationspanel dieses Servers ab.
Eine der ersten Aktionen der Spyware ist die Aufforderung an den Nutzer, sie zur Standard-SMS-Anwendung zu machen. Erteilt der Nutzer diese Berechtigung, erhält die Malware weitreichenden Zugriff auf sensible Kommunikationsdaten. Die Spyware kann dann verdeckt auf folgende Informationen zugreifen:
- SMS-Nachrichten: Alle eingehenden und ausgehenden Textnachrichten werden ausgelesen.
- Anruflisten: Die Malware erfasst Informationen zu allen getätigten, empfangenen und verpassten Anrufen.
- Benachrichtigungen: Inhalte von Benachrichtigungen anderer Apps werden ebenfalls abgefangen.
- Geräteinformationen: Technische Daten des Smartphones werden an den C2-Server gesendet.
Zusätzlich zu diesen Überwachungsfunktionen kann ClayRat auch aktiv in die Gerätenutzung eingreifen. Die Malware ist in der Lage, selbstständig Anrufe zu tätigen, SMS-Nachrichten zu versenden und Fotos mit der Frontkamera aufzunehmen.
Aggressive Weiterverbreitung
Ein besonders gefährliches Merkmal von ClayRat ist die Fähigkeit zur automatisierten Selbstverbreitung. Die Spyware sendet eigenständig schädliche Links an jeden einzelnen Kontakt im Adressbuch des Opfers. Dadurch wird jedes infizierte Gerät zu einem neuen Knotenpunkt für die Verbreitung der Malware, was den Angreifern eine schnelle und exponentielle Ausweitung ihrer Kampagne ohne manuelles Eingreifen ermöglicht.
Ständige Weiterentwicklung und Schutzmaßnahmen
Sicherheitsforscher von Zimperium beobachten eine schnelle Weiterentwicklung der Spyware. In den letzten 90 Tagen wurden laut dem Unternehmen nicht weniger als 600 verschiedene Varianten und 50 Dropper-Anwendungen identifiziert. Jede neue Version enthält verbesserte Verschleierungstechniken, um eine Erkennung durch Sicherheitssoftware zu erschweren.
„Sobald die Spyware aktiv ist, kann sie SMS-Nachrichten, Anruflisten, Benachrichtigungen und Geräteinformationen exfiltrieren; Fotos mit der Frontkamera aufnehmen; und sogar direkt vom Gerät des Opfers aus SMS-Nachrichten senden oder Anrufe tätigen“, erklärte Vishnu Pratapagiri, ein Forscher bei Zimperium.
Ein Sprecher von Google teilte mit, dass Android-Nutzer durch Google Play Protect automatisch vor bekannten Versionen dieser Malware geschützt sind. Dieser Dienst ist auf allen Geräten mit Google Play Services standardmäßig aktiviert und scannt Apps regelmäßig auf schädliches Verhalten.
Verwandte Risiken durch vorinstallierte Apps
Das Problem unsicherer Software betrifft nicht nur Malware wie ClayRat. Eine separate Studie der Universität Luxemburg und der Université Cheikh Anta Diop deckte auf, dass vorinstallierte Anwendungen auf günstigen, in Afrika verkauften Android-Smartphones ebenfalls erhebliche Datenschutzrisiken bergen.
Die Forscher analysierten 1.544 APK-Dateien von sieben verschiedenen Smartphone-Modellen. Die Ergebnisse sind besorgniserregend:
- 9 % der untersuchten Apps (145 Anwendungen) übermittelten sensible Daten wie Gerätekennungen und Standortinformationen an externe Dritte.
- 16 % (249 Anwendungen) legten kritische Systemkomponenten ohne ausreichenden Schutz offen.
- 79 Apps interagierten mit SMS-Nachrichten (lesen, senden oder löschen).
- 33 Apps waren in der Lage, im Hintergrund und ohne Nutzerinteraktion weitere Software zu installieren.
Diese Ergebnisse zeigen, dass Sicherheitsrisiken auf Android-Geräten nicht nur von externen Angriffen ausgehen, sondern auch direkt in die Software von Herstellern integriert sein können, insbesondere im Budget-Segment.
