Um novo software espião se esconde em aplicativos falsos que imitam apps populares, como WhatsApp, TikTok e YouTube. A firma de cibersegurança Zimperium aponta ter documentado mais de 600 amostras do agente malicioso ClayRat nos últimos três meses, indicando ser uma campanha massiva.O spyware mira primordialmente alvos que usam smartphones em sistema operacional Android na Rússia. Todo o esquema é feito para as vítimas pensarem que essa é uma aplicação legítima, se escondendo em portais de phishing bem elaboradores e sites com registros bem parecidos com os originais.Para parecerem mais legítimos, os sites até mesmo incluem o logotipo da Play Store e avaliações de outros usuários. Ao clicar para baixar os apps, os usuários são direcionados para canais do Telegram, que baixam os pacotes APK maliciosos e solicitam para as vítimas removerem o bloqueio padrão dos smartphones à instalação de fontes desconhecidas.Spyware ClayRat também se esconde em falsas atualizações de aplicativos (Imagem: Zimperium/reprodução)Com tudo isso feito, a instalação é finalmente concluída, e o usuário nem vai perceber que inseriu em seu smartphone uma aplicação maliciosa. Então, o ClayRat começará suas operações de roubo de dados.ClayRat deposita outros malwares no celularSegundo os pesquisadores da agência, o ClayRat atua como um dropper, ou seja, um malware que serve para depositar outros agentes mal-intencionados no dispositivo. Esse método de ataque torna o ClayRat mais difícil de detecção e faz com que ele seja uma porta aberta para diversos tipos de spyware entrarem na máquina.O spyware assume a forma de um app que interpreta mensagens SMS, lendo-as antes de outros apps e as modificando;Por ter acesso aos SMS, o software também consegue se propagar ao enviar mensagens infectadas para a lista de contatos da vítima;Esse spyware faz contato com um servidor C2 do atacante e recebe um de 12 comandos possíveis;Alguns desses comandos permitem que o aplicativo espião até mesmo tire fotos arbitrariamente com a câmera frontal do smartphone;Os comandos também podem servir para roubar informações sigilosas do dispositivo.A Zimperium compartilhou as informações do ClayRat com o Google, e agora a Play Store bloqueia variantes conhecidas do spyware. Vale alertar que apps como o WhatsApp, YouTube e TikTok devem ser baixados somente via o aplicativo oficial da loja do Android, então qualquer outro método possivelmente se trata de um vírus ou malware.Para mais informações sobre spywares, campanhas maliciosas e como se proteger na internet, fique de olho no site do TecMundo.