Android işletim sistemini hedef alan yeni bir casus yazılım türü olan ClayRat, kullanıcıları WhatsApp, TikTok, YouTube ve Google Fotoğraflar gibi popüler uygulamaların sahte sürümleriyle kandırıyor. Güvenlik araştırmacılarına göre zararlı yazılım, özellikle Rusya’daki kullanıcıları sahte internet siteleri ve Telegram kanalları üzerinden hedef alıyor.
ClayRat Sahte Uygulamalarla Yayılıyor
Mobil güvenlik firması Zimperium’un araştırmasına göre ClayRat, son üç ay içinde 600’ü aşkın örneğiyle tespit edildi. Uzmanlar, 50’den fazla farklı yükleyiciyle yürütülen saldırının oldukça organize şekilde genişlediğini belirtiyor.
Sahte güncelleme arka planda casus yazılımı yüklüyor
Saldırganlar, gerçeğe oldukça benzeyen internet siteleri tasarlayarak kullanıcıları kandırıyor. Bu siteler ya doğrudan zararlı Android dosyalarını (APK) barındırıyor ya da kullanıcıları Telegram kanallarına yönlendiriyor. Sitelerde sahte yorumlar, abartılı indirme sayıları ve Play Store’a benzer bir arayüz kullanılarak güven hissi yaratılıyor.
ClayRat yazılımını yayan Telegram kanalı
Bazı ClayRat örneklerinde, kullanıcının gördüğü ekran sahte bir Play Store güncelleme penceresi olarak hazırlanıyor. Zararlı yazılım, bu uygulamaların içine gizlenen şifreli dosyalar aracılığıyla cihaza yerleşiyor.
ClayRat varsayılan SMS özelliğinde görülüyor
ClayRat, Android 13 ve sonrası sürümlerdeki güvenlik kısıtlamalarını atlatmak için “oturum tabanlı yükleme” adı verilen bir yöntem kullanıyor. Bu yöntem, kullanıcıların zararlı dosyayı fark etmeden yüklemesini kolaylaştırıyor.
Yazılım cihaza yerleştikten sonra, SMS göndererek diğer cihazlara da bulaşabiliyor. Ayrıca, cihazın SMS yöneticisi rolünü üstlenerek gelen ve giden tüm mesajları okuyabiliyor, arama kayıtlarını toplayabiliyor ve kamera aracılığıyla fotoğraf çekebiliyor.
Casus yazılım, saldırganların kontrolündeki sunucularla şifreli bir bağlantı kuruyor. AES-GCM şifreleme yöntemiyle korunan bu iletişim üzerinden 12 farklı komut çalıştırılabiliyor. Bu komutlar arasında uygulama listesini, arama geçmişini ve cihaz bilgilerini gönderme gibi işlemler bulunuyor.
ClayRat ayrıca, kullanıcının kişilerine toplu SMS yollayarak kendisini yayma kapasitesine sahip. Uygulama, gerekli izinler verildiğinde cihaz üzerindeki tüm bildirimleri toplayabiliyor ve bunları saldırganın sunucusuna aktarabiliyor.
Zimperium’un paylaştığı göstergeler (IoC’ler) Google ile paylaşılınca Play Protect sistemi bilinen ve yeni ClayRat varyantlarını engellemeye başladı. Buna rağmen güvenlik araştırmacıları, saldırı kampanyasının hâlâ geniş ölçekte sürdüğünü belirtiyor. Kullanıcıların yalnızca Google Play Store gibi güvenilir kaynaklardan uygulama indirmesi, dış bağlantılardan gelen APK dosyalarını yüklememesi ve cihazlarında güvenlik yazılımı bulundurması tavsiye ediliyor.
