یک کمپین جاسوسی پیشرفته برای دستگاههای اندرویدی با نام ClayRat در سال ۲۰۲۵ بهعنوان یکی از خطرناکترین تهدیدات موبایلی ظاهر شده است. این بدافزار خود را بهعنوان برنامههای محبوبی مانند واتساپ، گوگل فوتوز، تیکتاک و یوتیوب جا میزند تا کاربران را فریب دهد و به دستگاههایشان نفوذ کند. محققان امنیتی میگویند بدافزار ClayRat بسیار سازگار و پایدار است و عاملان تهدید بهطور مداوم تاکتیکهایش را برای دور زدن راهکارهای امنیتی تکامل میدهند.
این بدافزار چه کاری انجام میدهد؟
بدافزارClayRat یک ابزار نظارتی جامع است و قابلیتهای اصلی آن عبارتاند از:
- استخراج پیامکها، گزارش تماسها و اعلانهای دستگاه
- دسترسی مخفیانه و همیشگی به دستگاه مخرب
- گرفتن عکس با دوربین جلوی دستگاه و آپلود آنها به سرورهای مهاجم
- استفاده از فهرست مخاطبین قربانی برای ارسال خودکار لینکهای مخرب و گسترش سریع آلودگی
قابلیت خودانتشاری (self-propagation) این بدافزار بسیار نگرانکننده است.
پس از آلودهشدن، دستگاه قربانی بهصورت خودکار لینکهای آلوده را به همه مخاطبین ارسال میکند و بدینترتیب یک زنجیرهی انتشار سریع ایجاد میشود.
چگونه منتشر میشود؟
محققان شبکه، توزیع پیچیدهای برای ClayRat شناسایی کردهاند که عمدتاً شامل:
- صفحات فیشینگ دقیقاً شبیهسازیشده که سرویسهای قانونی را تقلید میکنند
- کانالهای تلگرام که فایلهای APK مخرب و دستورالعملهای نصب پیشنهاد میدهند
- دامنههای جعلی که صفحات فرود قانعکننده میسازند و قربانی را به کانال یا لینک دانلود هدایت میکنند
Dropperها یا بستههای نصب این بدافزار اغلب بهصورت «بهروزرسانی جعلی فروشگاه» ظاهر میشوند تا کاربر را فریب دهند و فرایند نصب با ظاهری آشنا انجام شود.
این تاکتیکها برای کاهش شک کاربر و افزایش احتمال نصب طراحی شدهاند.
تکنیکهای پایداری و فرار از تشخیص
بدافزار ClayRat از روشهای پیشرفتهای برای حفظ دسترسی و دور زدن مکانیزمهای امنیتی استفادهی ویژه میکند:
- سوءاستفاده از نقش «مدیریت پیامک» (default SMS handler) اندروید که دسترسی گستردهای به پیامها میدهد بدون آنکه درخواستهای مجوز معمول دیده شوند
- نصب برپایه «جلسه» (session-based installation) برای عبور از محدودیتهای امنیتی اندروید ۱۳
- بارگذاری پویا و رمزگذاریشدهی مؤلفهها از منابع داخلی برنامه برای پیچیدهکردن تحلیلها
- استفاده از رمزگذاریهایی مانند Base64 و AES-GCM و رشتههای نشانگر برای مبهمسازی ترافیک و ارتباطات با سرورهای فرمان و کنترل
گستردگی و رشد کمپین
در ماههای اخیر این کمپین رشد سریعی داشته و محققان تعداد زیادی نمونه و گونه از بدافزار ClayRat را شناسایی کردهاند.
هر تکرار جدید شامل لایههای تازهای از مبهمسازی و بستهبندی است که سیستمهای تشخیص را به چالش میکشد و نشان میدهد عاملان تهدید نسبت به دفاعهای امنیتی متعهد و مصمم هستند.
نکات مهم برای کاربران و پیشنهادات حفاظتی
برای کاهش خطر آلودگی و محافظت از دادههای شخصی به موارد زیر توجه کنید:
- اپلیکیشنها را فقط از منابع رسمی مثل Google Play نصب کنید و از نصب APK از کانالهای ناشناس خودداری کنید.
- تنظیم «نصب از منابع نامشخص» را غیرفعال نگه دارید.
- دستگاه و اپلیکیشنها را بهروز نگه دارید؛ وصلههای امنیتی را نصب کنید.
- از فعالبودن قابلیتهای امنیتی مانند Play Protect استفاده کنید.
- مراقب لینکها و پیوستهای دریافتی از دوستان و کانالها باشید. حتی اگر منبع آشنا باشد، ممکن است حساب آنها هم آلوده شده باشد.
- پشتیبانگیری مرتب از اطلاعات مهم و استفاده از رمز عبور قوی و احراز هویت دو مرحلهای را فراموش نکنید.
خط مقدم محافظت از امنیت شما، استفاده از آنتیویروسی است که قابلیت اطمینان بالایی داشته باشد و مدام بهروزرسانی شود. ما در مجموعهی شیدافزار برای این نگرانی شما عزیزان، آنتیویروس و امنیت اینترنتی شید را پیشنهاد میکنیم.
در نسخه امنیت اینترنتی شید شما میتوانید در برابر ویروسها ایمن باشید، در مقابل تهدیدهای اینترنتی محافظت شوید و نگران ایمنی خریدها، پرداختها و کارهای بانکیتان نباشید. همچنین کنترل برنامههای دستگاهتان را در دست بگیرید.
اما آنچه که این محصول را برای شما جذابتر میکند، امکان دانلود رایگان و استفاده آزمایشی ۳۰ روزه است. این فرصت بینظیر به شما اجازه میدهد تا بدون پرداخت هزینه، تمام قابلیتهای امنیت اینترنتی شید را تجربه کرده و از امکانات پیشرفته آن بهرهمند شوید.
جهت آشنایی بیشتر با محصولات ما روی تصویر زیر کلیک کنید.
جمعبندی
بدافزار ClayRat نمونهی جدید و پیچیدهای از جاسوسافزارهای موبایلی است که با تقلید از برنامههای محبوب و استفاده از تاکتیکهای پیشرفته، میتواند حریم خصوصی کاربران را بهشدت تهدید کند. هوشیاری کاربران، نصب از منابع معتبر و بهروزرسانیهای منظم دستگاه بهترین دفاع در برابر چنین حملاتی است.
