Nova verzija malvera ClayRat snima ekran, rekonstruiše PIN i zaobilazi Google Play Protect

Mobilni telefoni, 10.12.2025, 13:00 PM

Istraživači kompanije Zimperium otkrili su novu verziju špijunskog softvera ClayRat za Android, sa znatno proširenim funkcijama nadzora, krađe podataka i kontrole nad zaraženim uređajima.

Malver je prvi put primećen u oktobru, kada je mogao da krade SMS poruke, logove poziva, fotografije i da šalje masovne SMS-ove. Međutim, najnovija verzija može mnogo više, kombinujući podrazumevane SMS privilegije sa agresivnom zloupotrebom Accessibility Services, što mu omogućava visok nivo automatizacije i potpunu kontrolu kompromitovanog telefona.

Prema novom izveštaju kompanije Zimperium, ClayRat sada može da obavlja čitav niz automatizovanih radnji na uređaju. Malver je sada keylogger koji snima PIN kodove, lozinke i šablone otključavanja. Nova verzija uključuje snimanje celog ekrana preko MediaProjection API-ja, preklapanja koja prikrivaju maliciozne aktivnosti i automatizovana dodirivanja (tap) koja sprečavaju korisnika da ugasi uređaj ili obriše aplikaciju

Sve ovo ga čini znatno postojanijim i opasnijim od ranijih verzija.

Istraživači navode da malver imitira poznate servise i aplikacije, uključujući globalne video platforme, regionalne aplikacije za taksi i parking aplikacije.

Pronađeno je više od 700 različitih APK fajlova, distribuiranih putem fišing sajtova i platformi kao što je Dropbox. Identifikovano je više od 25 aktivnih fišing domena, uključujući one koji se predstavljaju kao YouTube ili alat za auto-dijagnostiku.

Kada se instalira, ClayRat zahteva kontrolu nad SMS-ovima, zatim vodi korisnika da uključi Accessibility Services, a nakon dobijanja dozvola automatski isključuje Play Store, čime zaobilazi Google Play Protect.

Malver prati aktivnosti zaključavanja na ekranu i rekonstruiše PIN, lozinku ili šablon, koji se zatim čuvaju i koriste za otključavanje uređaja putem automatizovanih pokreta.

Takođe prikuplja odgovore na lažne notifikacije, čita aktivna sistemska obaveštenja i koristi različite overlay ekrane poput crnih ekrana ili lažnih poruka o ažuriranju sistema kako bi sakrio svoj rad.

Zimperium upozorava da ClayRat predstavlja ozbiljan rizik za preduzeća, jer kompromituje obaveštenja, SMS-ove, upite za autentifikaciju i sadržaj ekrana.

U BYOD okruženjima (Bring Your Own Device), gde zaposleni koriste privatne telefone za poslovne svrhe, jedan zaražen uređaj može omogućiti krađu podataka, fišing napade, finansijske prevare i neovlašćen pristup korporativnim sistemima.