Пароли в открытом виде, JSON вместо базы данных и студент из Краснодара. Как Android-шпион ClayRat прожил два месяца и исчез
NewsMakerSolar вскрыл изнанку Android-шпиона ClayRat.
Solar выпустил исследование о ClayRat, Android-вредоносе для скрытого наблюдения и удаленного управления устройством. На старте семейство выглядело как быстро растущий проект, но разбор серверной части показал совсем другую картину: необфусцированный бэкенд, хранение данных в JSON-файлах вместо СУБД, пароли в открытом виде и другие просчеты, которые хорошо объясняют, почему история ClayRat закончилась так быстро.
ClayRat относится к классу Spyware/RAT для Android. Вредонос перехватывал SMS и журнал вызовов, получал доступ к контактам, мог делать фотографии, записывать экран и выполнять команды с управляющего сервера. Распространение шло через фишинговые сайты и приложения, замаскированные под легитимный софт.
Авторы исследования сосредоточились не столько на мобильной части, сколько на серверной инфраструктуре. В открытом доступе обнаружился архив server.zip, внутри которого лежали исполняемый файл панели, утилиты для сборки и подписи APK, а также шаблон приложения для генерации новых вредоносных пакетов.
Главный бинарник webpanel_linux_amd64 оказался необфусцированным веб-приложением под Linux, написанным на Go 1.24. Сборка сохранила дебаг-строки, а внутри исполняемого файла через библиотеку embed хранились HTML-шаблоны и JavaScript-файлы панели. По данным исследователей, в открытых коллекциях можно найти и другие дропперы, которые, предположительно, связаны с тем же автором.
Solar выпустил исследование о ClayRat, Android-вредоносе для скрытого наблюдения и удаленного управления устройством. На старте семейство выглядело как быстро растущий проект, но разбор серверной части показал совсем другую картину: необфусцированный бэкенд, хранение данных в JSON-файлах вместо СУБД, пароли в открытом виде и другие просчеты, которые хорошо объясняют, почему история ClayRat закончилась так быстро.
ClayRat относится к классу Spyware/RAT для Android. Вредонос перехватывал SMS и журнал вызовов, получал доступ к контактам, мог делать фотографии, записывать экран и выполнять команды с управляющего сервера. Распространение шло через фишинговые сайты и приложения, замаскированные под легитимный софт.
Авторы исследования сосредоточились не столько на мобильной части, сколько на серверной инфраструктуре. В открытом доступе обнаружился архив server.zip, внутри которого лежали исполняемый файл панели, утилиты для сборки и подписи APK, а также шаблон приложения для генерации новых вредоносных пакетов.
Главный бинарник webpanel_linux_amd64 оказался необфусцированным веб-приложением под Linux, написанным на Go 1.24. Сборка сохранила дебаг-строки, а внутри исполняемого файла через библиотеку embed хранились HTML-шаблоны и JavaScript-файлы панели. По данным исследователей, в открытых коллекциях можно найти и другие дропперы, которые, предположительно, связаны с тем же автором.