Lažni WhatsApp širi opasan špijunski softver na Android uređajima

10. 10. 2025.10. 10. 2025. Milan Živković

Novi špijunski softver za Android, takozvani ClayRat, privlači potencijalne žrtve tako što imitira popularne aplikacije i servise kao što su WhatsApp, Google Photos, TikTok i YouTube.

Malver za sada cilja korisnike u Rusiji preko Telegram kanala i lažnih web-sajtova koji izgledaju legitimno. Sposoban je da krade SMS poruke, liste poziva, obaveštenja, da fotografiše, čak da obavlja telefonske pozive.

Eksperti iz kompanije za bezbednost mobilnih uređaja Zimperium saopštili su da su u poslednja tri meseca dokumentovali više od 600 uzoraka i 50 različitih „droppera”, što ukazuje na intenzivnu kampanju.

Ta kampanja ima i ime – ClayRat, a nazvana je po C2 serveru (komanda i kontrola) malvera, i koristi pažljivo izrađene phishing portale i registrovane domene koji verno oponašaju legitimne stranice poznatih servisa. Ovi sajtovi hostuju ili preusmeravaju posetioce ka Telegram kanalima gde se žrtvama nude Android instalacione datoteke (APK) za preuzimanje.

Da bi sve izgledalo uverljivo, napadači dodaju lažne komentare, veštački uvećane brojeve preuzimanja i interfejs koji podseća na Google Play prodavnicu, uz detaljna uputstva kako da se zaobiđu bezbednosna upozorenja Android sistema.

Pročitajte i: Stariji Google Pixel telefoni i UWB tragač

Prema Zimperiumu, deo ClayRat uzoraka funkcioniše kao „dropperi” – aplikacije koje prikazuju lažni ekran ažuriranja Play Store-a, dok je pravi, šifrovani maliciozni kod sakriven u datotekama aplikacije. Malver se onda „ugnezdi” u uređaj koristeći „session-based” metod instalacije, koji zaobilazi ograničenja Androida 13 i novijih verija tako da korisnik ništa ne sumnja.

„Ovaj metod instalacije smanjuje percipirani rizik i povećava šanse da obična poseta web-stranici rezultira instalacijom špijunskog softvera“, napominju istraživači. Kada se aktivira, ClayRat koristi zaraženi uređaj kao odskočnu dasku da se širi dalje – automatski šalje SMS poruke svim kontaktima iz imenika.

Malver preuzima ulogu glavnog SMS menadžera na zaraženom uređaju, što mu omogućava da čita sve dolazne i sačuvane poruke, presreće ih pre nego što ih druge aplikacije obrade, pa čak i menja bazu podataka poruka. Komunicira sa svojim C2 serverom putem AES-GCM šifrovane veze, a zatim prima do 12 različitih komandi, uključujući: slanje liste instaliranih aplikacija, slanje dnevnika poziva, fotografisanje prednjom kamerom, krađu SMS poruka, masovno slanje SMS poruka, slanje obaveštenja i informacija o uređaju i prikupljanje proxy podataka i uspostavljanje WebSocket konekcija.

Pročitajte i: WhatsApp uvodi poruke između različitih platformi

Kada dobije potrebne dozvole, automatski preuzima kontakte i šalje poruke svakom od njih i tako se širi.

Kao član App Defense Alliance-a, Zimperium je podelio sve indikatore sa Google-om, pa Play Protect sada blokira poznate i nove verzije ClayRat špijuna. Istraživači ipak upozoravaju da je kampanja izuzetno opsežna, sa više od 600 zabeleženih uzoraka u svega tri meseca.

Facebook komentari: