一種名為 ClayRat 的新型 Android 間諜軟體正在透過冒充 WhatsApp、TikTok、YouTube、Google Photos 和其他熱門服務的虛假應用程式進行傳播。該惡意軟體透過 Telegram 頻道和釣魚網站傳播，隱藏在偽裝成合法更新或外掛程式的惡意 APK 檔案中。據安全研究人員稱，ClayRat 可以收集通話記錄、簡訊日誌、通知、照片，甚至以受害者的名義向其聯絡人發送訊息。

ClayRat 透過將簡訊攔截與照片、通話元資料和儲存聯絡人的存取權相結合，實現了高度精準的社會工程、身分盜竊和勒索攻擊。隨著攻擊活動的不斷發展，研究人員強調，傳統的基於簽章的防禦措施已顯不足。行為分析、異常檢測和即時網路監控仍然是識別和控制感染最有效的手段。

這波名為 ClayRat 的惡意活動，對全球 Android 用戶構成嚴重威脅。駭客組織大量利用欺騙性域名來模仿 Google 或 Meta 等官方網站，誘騙用戶從非官方渠道下載這些偽裝的應用程式。受害者往往會被重新導向至 Telegram 頻道，那裡充斥著虛假的用戶評論和誇大的下載數據，進一步提高惡意 APK 檔案的可信度。這些惡意檔案有時會以「植入程式」（droppers）的形式運作，它們在背景顯示一個看似正常的 Play 商店介面，同時解密並安裝隱藏的惡意負載，以此規避 Android 系統較新的安全限制。

一旦 ClayRat 成功被安裝，它會立即要求成為設備的預設簡訊應用程式。一旦用戶授予這項危險的權限，間諜軟體便獲得對簡訊通訊的完全控制權。它不僅能攔截所有訊息、閱讀簡訊歷史記錄、發送或刪除文字訊息，還能隱藏來自合法應用程式的通知，所有操作都在用戶不知情的情況下進行。除了上述資料竊取能力，ClayRat 的指令與控制（C2）基礎設施還賦予其深度設備監控的能力，包括收集設備元數據、檢索完整的聯絡人清單，以及利用前置鏡頭即時拍照。

最令人擔憂的是 ClayRat 的自我傳播機制，受感染的設備會自動向其通訊錄中的每一個聯絡人發送包含惡意下載連結的簡訊。這些訊息採用多種語言編寫，例如俄語的「Узнай первым！」（意為「搶先知道！」），使其在不同地區的社交傳播中更具說服力。安全分析師已識別出超過 600 個 ClayRat 獨特的樣本和 50 個植入程式，每一次迭代都增強了混淆和加密層級，顯示出該惡意活動的開發者持續投入資源。

面對此一快速演變的威脅，安全專家呼籲 Android 用戶務必嚴格限制從官方應用程式商店以外的途徑下載任何軟體，並應避免授予任何來源不明的應用程式簡訊權限。對於企業而言，部署行動威脅防禦解決方案並透過企業政策強制執行安裝限制是保護其行動資產的關鍵。這種利用簡訊權限進行大規模監控與操縱的設計，被認為是近年來最為積極的簡訊傳播惡意軟體活動之一，突顯了當前行動生態系統面臨的嚴峻挑戰。持續性的安全警戒與進階防禦策略，才是對抗這類進化型間諜軟體的根本之道。

資料來源：https://dailysecurityreview.com/cyber-security/clayrat-spyware-tricks-android-users-by-masquerading-as-whatsapp-tiktok-and-youtube/