Spyware ClayRat Intai Pengguna Lewat WhatsApp dan TikTok Palsu

Kampanye spyware Android yang berkembang pesat bernama ClayRat telah menargetkan pengguna di Rusia dengan menggunakan campuran saluran Telegram dan situs phishing tiruan. Para pelaku membuat situs dan aplikasi palsu yang meniru aplikasi populer seperti WhatsApp, Google Photos, TikTok, dan YouTube, untuk memancing korban agar mengunduhnya.

Menurut peneliti dari Zimperium, Vishnu Pratapagiri, begitu spyware ini aktif di perangkat korban, ClayRat dapat mencuri berbagai data penting seperti:

• pesan SMS,
• riwayat panggilan,
• notifikasi,
• informasi perangkat,
• mengambil foto menggunakan kamera depan,
• bahkan mengirim SMS atau melakukan panggilan langsung dari perangkat korban tanpa sepengetahuan pengguna.

Lebih parahnya lagi, malware ini juga dirancang untuk menyebar secara otomatis dengan mengirimkan tautan berbahaya ke semua kontak di ponsel korban. Artinya, begitu satu perangkat terinfeksi, perangkat itu dapat menyebarkan malware ke pengguna lain dengan cepat — menjadikannya alat penyebaran yang sangat agresif.

 
Lebih dari 600 Versi ClayRat Ditemukan

Perusahaan keamanan seluler Zimperium mengungkapkan bahwa dalam 90 hari terakhir, mereka telah menemukan lebih dari 600 sampel ClayRat dan 50 aplikasi “dropper” yaitu aplikasi yang digunakan untuk memasukkan malware ke perangkat.

Setiap versi terbaru malware ini terus ditingkatkan dengan teknik obfuscation (penyamaran kode) baru agar sulit dideteksi oleh sistem keamanan. Nama “ClayRat” sendiri diambil dari panel Command-and-Control (C2) yang digunakan untuk mengendalikan perangkat korban dari jarak jauh.

 
Cara ClayRat Menipu Korban

Proses serangan (attack chain) dimulai ketika pengguna diarahkan ke situs palsu yang tampak mirip dengan situs resmi aplikasi populer. Dari sana, pengguna diarahkan ke saluran Telegram yang dikendalikan oleh pelaku, dan di situ mereka dipancing untuk mengunduh file APK (instalasi aplikasi Android).

Untuk membuatnya terlihat meyakinkan, pelaku bahkan meningkatkan jumlah unduhan palsu dan menampilkan testimoni buatan seolah aplikasi tersebut populer dan aman.

Dalam beberapa kasus, situs palsu tersebut mengklaim menawarkan aplikasi “YouTube Plus” dengan fitur premium. Namun nyatanya, situs itu menyediakan file APK berbahaya yang bisa menembus sistem keamanan Google, bahkan di perangkat dengan Android 13 atau versi lebih baru, yang seharusnya memiliki perlindungan lebih ketat terhadap pemasangan aplikasi dari luar Play Store (sideloading).

 
Teknik Penyamaran: Dropper Palsu

Untuk mengelabui sistem keamanan Android, beberapa versi ClayRat berfungsi sebagai dropper. Artinya, aplikasi yang terlihat oleh pengguna hanyalah installer ringan palsu yang menampilkan layar “update Play Store” tiruan.

Sementara itu, payload berbahaya (kode utama malware) disembunyikan dengan rapi di dalam aset aplikasi tersebut.

“Metode instalasi berbasis sesi ini membuat pengguna merasa aman dan meningkatkan kemungkinan mereka benar-benar menginstal spyware,” jelas Zimperium.

 
Akses Penuh ke Sistem dan Pesan

Setelah terpasang, ClayRat akan berkomunikasi dengan server pengendali (C2) menggunakan HTTP standar. Spyware ini kemudian meminta izin untuk menjadi aplikasi SMS utama di perangkat korban.

Begitu izin diberikan, ClayRat dapat:

• membaca dan mencuri pesan teks (SMS),
• merekam log panggilan,
• membaca notifikasi,
• mengirim pesan ke semua kontak,
• dan melanjutkan penyebaran malware ke perangkat lain.

Selain itu, ClayRat juga mampu melakukan fungsi tambahan seperti:

• melakukan panggilan telepon,
• mengambil foto dari kamera perangkat,
• mengirim informasi detail perangkat,
• serta mengirim daftar semua aplikasi yang terinstal ke server C2.
   

Ancaman Serius di Dunia Nyata

ClayRat bukan hanya spyware yang berfungsi untuk memata-matai pengguna, tetapi juga berpotensi mengubah perangkat yang terinfeksi menjadi pusat penyebaran otomatis. Dengan begitu, pelaku bisa memperluas jangkauan infeksi mereka tanpa harus melakukan serangan manual lagi.

Menurut Google, pengguna Android sebenarnya sudah memiliki perlindungan otomatis terhadap versi ClayRat yang dikenal, melalui sistem keamanan Google Play Protect yang aktif secara default di perangkat dengan Google Play Services.

 
Penemuan Tambahan: Aplikasi Bawaan Berisiko di Ponsel Murah

Dalam waktu bersamaan, para peneliti dari University of Luxembourg dan Université Cheikh Anta Diop juga menemukan bahwa beberapa ponsel Android murah yang dijual di Afrika memiliki aplikasi bawaan berbahaya dengan hak istimewa tinggi.

Salah satu paket perangkat lunak dari vendor bahkan diketahui mengirimkan data seperti lokasi dan identitas perangkat ke pihak ketiga eksternal tanpa izin pengguna.

Dari hasil penelitian terhadap 1.544 file APK dari tujuh ponsel Afrika, ditemukan bahwa:

• 145 aplikasi (9%) membocorkan data sensitif,
• 249 aplikasi (16%) mengekspos komponen penting tanpa perlindungan memadai,
• 226 aplikasi menjalankan perintah berbahaya,
• 79 aplikasi berinteraksi dengan SMS (membaca, mengirim, atau menghapus pesan),
• 33 aplikasi bahkan dapat melakukan instalasi diam-diam tanpa sepengetahuan pengguna.

Kasus ClayRat menunjukkan bagaimana pelaku siber terus berinovasi untuk menyusup ke perangkat Android melalui cara yang sangat halus dan meyakinkan. Dengan meniru aplikasi populer dan memanfaatkan media sosial seperti Telegram, malware ini bisa dengan mudah menyebar ke banyak pengguna.

Untuk melindungi diri, pengguna Android disarankan untuk:

• hanya mengunduh aplikasi dari Google Play Store,
• tidak mengklik tautan acak dari pesan atau media sosial,
• memastikan Play Protect aktif,
• dan selalu memperbarui sistem keamanan perangkat.

Dengan langkah-langkah ini, pengguna dapat mengurangi risiko terinfeksi spyware seperti ClayRat yang kini menjadi salah satu ancaman Android paling berbahaya di tahun ini.