جاسوس‌افزار ClayRat کاربران اندروید را با نسخه‌های جعلی واتساپ و تیک‌تاک هدف گرفته است!

🔍 خلاصه خبر:

پژوهشگران امنیتی از کشف کمپینی فعال به نام ClayRat خبر داده‌اند که با جعل اپ‌های محبوبی مثل WhatsApp، TikTok، YouTube و Google Photos، کاربران اندروید را به نصب بدافزار جاسوسی جدیدی فریب می‌دهد.

🧩 جزئیات حمله:

این بدافزار در ابتدا از طریق کانال‌های تلگرام و وب‌سایت‌های فیشینگ جعلی منتشر می‌شود. کاربران با وعده‌ی نسخه‌های ویژه یا بهبود‌یافته‌ی اپ‌ها، به دانلود فایل‌های APK آلوده ترغیب می‌شوند.

به‌محض اجرا، ClayRat به اطلاعات حساسی مثل:

پیامک‌ها (SMS)
گزارش تماس‌ها
اعلان‌ها (Notifications)
اطلاعات دستگاه
دسترسی پیدا می‌کند و حتی می‌تواند با دوربین سلفی عکس بگیرد یا به‌صورت مستقیم از گوشی قربانی تماس برقرار کند یا پیام بفرستد.

🧠 قابلیت انتشار خودکار

ClayRat رفتاری تهاجمی دارد؛ این بدافزار می‌تواند لینک مخرب را برای همه‌ی مخاطبین قربانی ارسال کند تا خودش را روی دستگاه‌های جدید گسترش دهد.
در واقع، هر دستگاه آلوده به یک گره توزیع (distribution node) برای انتشار بیشتر بدافزار تبدیل می‌شود.

🧬 تکنیک‌های فریب و پنهان‌سازی

پژوهشگران Fortinet اعلام کردند که در ۹۰ روز اخیر، بیش از ۶۰۰ نسخه از این بدافزار و ۵۰ dropper مختلف شناسایی شده‌اند که هرکدام با لایه‌های جدیدی از obfuscation برای عبور از شناسایی طراحی شده‌اند.

در برخی نسخه‌ها از قابلیت “dropper” استفاده شده است؛ یعنی اپلیکیشن ظاهری فقط یک نصب‌کننده‌ی ساده است که صفحه‌ای مشابه Google Play نشان می‌دهد، در حالی که بدافزار اصلی در پشت‌صحنه رمزگذاری‌شده و مخفی است.

📡 نحوه ارتباط و کنترل

ClayRat از پروتکل HTTP استاندارد برای ارتباط با سرور C2 استفاده می‌کند و قربانی را وادار می‌کند اپ پیام‌رسان پیش‌فرض (Default SMS App) را به خودش تغییر دهد.
به این ترتیب می‌تواند:

پیام‌ها و تماس‌ها را سرقت کند
به همه مخاطبین پیام آلوده بفرستد
لیست اپ‌های نصب‌شده را به سرور ارسال کند
عکس بگیرد یا دستور دلخواهی را از راه دور اجرا کند

⚠️ گسترش سریع و خطرناک

قدرت ClayRat تنها در جاسوسی نیست؛ بلکه در خودتکثیر شدن خودکار و انتشار سریع از طریق شبکه قربانیان — بدون نیاز به دخالت انسان است.

🛡️ اقدامات دفاعی

گوگل اعلام کرده که Play Protect به‌صورت پیش‌فرض در دستگاه‌های دارای Google Play فعال است و نسخه‌های شناخته‌شده این بدافزار را مسدود می‌کند.

با این حال، کاربران باید از نصب APK از منابع ناشناخته جداً خودداری کنند و مجوزهای مشکوک را تایید نکنند.

🧭 جمع‌بندی

ClayRat یکی از پیشرفته‌ترین جاسوس‌افزارهای اندروید در سال ۲۰۲۵ است که نشان می‌دهد هکرها روزبه‌روز از ترفندهای اجتماعی و فنی پیچیده‌تری برای نفوذ به موبایل‌ها استفاده می‌کنند.

منابع:

https://thehackernews.com/2025/10/new-clayrat-spyware-targets-android.html