Security

Spyware Baru “ClayRat” Menyamar Jadi WhatsApp, TikTok, dan YouTube untuk Serang Pengguna Android

October 10, 2025
2 minutes read

Zimperium temukan lebih dari 600 sampel malware dalam 3 bulan, sebaran masif lewat Telegram dan situs palsu mirip Play Store

9 Oktober 2025 — Peneliti keamanan dari Zimperium mengungkap kampanye spyware Android berskala besar bernama ClayRat, yang meniru aplikasi populer seperti WhatsApp, Google Photos, TikTok, dan YouTube untuk menginfeksi perangkat korban. Malware ini menargetkan pengguna di Rusia melalui saluran Telegram dan situs palsu yang meniru layanan resmi.

ClayRat dapat mencuri SMS, log panggilan, notifikasi, mengambil foto dari kamera depan, hingga melakukan panggilan telepon tanpa izin pengguna. Dalam tiga bulan terakhir, Zimperium mengidentifikasi lebih dari 600 sampel malware dan 50 varian dropper, menandakan operasi yang sangat aktif dan terorganisir.

Metode Penyebaran dan Penyamaran

Kampanye ClayRat menggunakan domain phishing yang dirancang menyerupai halaman resmi, lengkap dengan komentar palsu, jumlah unduhan yang dimanipulasi, dan antarmuka mirip Play Store.

Korban diarahkan ke kanal Telegram tempat file APK berbahaya diunggah. Saat diinstal, aplikasi menampilkan layar pembaruan palsu untuk menutupi aktivitas di latar belakang — termasuk dekripsi payload tersembunyi.

ClayRat juga menggunakan metode “session-based installation” yang mampu melewati pembatasan keamanan Android 13 ke atas, sehingga meningkatkan kemungkinan spyware terpasang tanpa dicurigai pengguna.

Kemampuan Spionase Lengkap

Setelah aktif, ClayRat mengambil alih peran sebagai aplikasi SMS default, memungkinkan:

  • Membaca dan mengubah seluruh pesan masuk,
  • Mengintersepsi SMS sebelum aplikasi lain membacanya,
  • Mengirim pesan massal ke seluruh kontak korban untuk memperluas penyebaran.

Komunikasi antara perangkat dan server perintah (C2) terenkripsi dengan AES-GCM, mendukung 12 perintah berbahaya, termasuk:

  • Mengambil daftar aplikasi, panggilan, SMS, dan foto,
  • Mengirim mass SMS, membuat panggilan, dan mengambil notifikasi,
  • Mengumpulkan data perangkat serta mengubah komunikasi HTTP menjadi WebSocket terenkripsi untuk kendali jarak jauh.

Zimperium menegaskan bahwa ClayRat menggunakan perangkat korban sebagai “springboard” untuk menyerang kontak lain, mengirim pesan berisi tautan infeksi baru secara otomatis.

Upaya Mitigasi oleh Google dan Zimperium

Sebagai anggota App Defense Alliance, Zimperium telah membagikan indikator kompromi (IoC) ke Google, dan kini Play Protect memblokir semua varian ClayRat yang diketahui.

Namun, Zimperium memperingatkan bahwa kampanye ini masih aktif dan berkembang cepat, dengan ratusan sampel baru muncul setiap bulan.

Pengguna Android disarankan untuk:

  • Tidak mengunduh APK dari Telegram atau situs tidak resmi,
  • Menonaktifkan opsi “Install unknown apps”,
  • Gunakan Play Protect dan perbarui sistem keamanan secara rutin,
  • Waspadai aplikasi populer yang meminta izin berlebihan.

Serangan ClayRat menyoroti peningkatan tren penyamaran malware dalam bentuk aplikasi populer, memanfaatkan kepercayaan pengguna terhadap merek besar untuk menyebar luas dengan cepat.

Sumber: Zimperium

Tags
October 10, 2025
2 minutes read
Leave a Reply

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button