ClayRat再進化：從簡訊竊取到完整遠端控制

ClayRat 於 2025 年 10 月首次被曝光，當時核心功能為竊取簡訊、通話紀錄、相片，並能以大量簡訊發送訊息。經過 zLabs 的持續追蹤，最新變種已將「無障礙服務」與「預設簡訊 App 權限」結合，增添了自動解鎖、螢幕錄製、偽造通知以及遠端操控等功能，攻擊面與持續性大幅提升。(iThome)

一、分發與滲透策略

• 多階段社交工程：攻擊者架設 25+ 釣魚網域，偽裝成 YouTube、車用診斷工具等，誘使用者下載偽裝 APK。
• 雲端散佈：利用 Dropbox 等雲儲存服務傳送惡意檔，降低傳統防護機制偵測機率。
• 自動升級流程：安裝後先讓使用者將其設定為預設簡訊 App，然後要求開啟無障礙服務，藉此取得關鍵權限。

二、核心功能升級

• 鍵盤記錄 & 自動解鎖：透過監聽 SystemUI 與 Keyguard 的無障礙事件，捕捉 PIN、密碼、圖形解鎖並重建憑證。
• 螢幕錄製 & VNC 遠端桌面：使用 MediaProjection API 進行長時間錄製，並以類 VNC 協定串流畫面，允許遠端模擬點擊與滑動。
• 偽通知 & 交互攔截：可在手機上建立自訂通知，攔截使用者回覆，竊取帳號密碼或驗證碼。
• 防止關機或卸載：透過程式化按鍵操作與覆蓋層，阻止使用者關機或卸載惡意程式。

三、MITRE ATT&CK 對應

• T1566.001 – Phishing：利用釣魚網域與偽裝頁面進行初始接觸。
• T1059.006 – Android Open Source Project (AOSP) Shell：執行 APK 及 dropper。
• T1068 – Privilege Escalation：透過無障礙服務獲取高權限。
• T1134 – Abusing Existing System Features：利用預設簡訊 App 與無障礙服務。
• T1070 – Indicator Removal：加密載荷與動態解密隱藏惡意模組。
• T1056 – Input Capture：鍵盤記錄與解鎖憑證。
• T1105 – Ingress Tool Transfer：使用 Dropbox 等雲端傳輸惡意檔。
• T1113 – Screen Capture：MediaProjection API 進行螢幕錄製。
• T1071 – Standard Application Layer Protocol：VNC 遠端桌面傳輸。

四、防禦與應對建議

1. 強化使用者教育：避免點擊未知來源的下載連結，並警示「請勿授予無障礙服務」。
2. 加固 Android 管理平台：使用 Android Enterprise、MDM 與 Google Play Protect，封鎖未簽署的預設簡訊 App 與無障礙服務。
3. 監控 & 報警：利用行為分析平台偵測 MediaProjection API 使用、持續螢幕錄製與偽通知行為。
4. 定期審核權限：檢查已安裝 App 的權限清單，確保無授權的無障礙或簡訊處理權限。
5. 使用可信雲端分發：限制 APK 從非官方雲端儲存服務下載，並啟用 APK 來源驗證。

五、結論

ClayRat 的最新迭代不僅僅是簡訊竊取工具，更是完整的遠端控制與持續性攻擊平台。其利用 Android 系統的合法權限作為攻擊載體，並結合多層加密與社交工程，顯示出現代 Android 惡意軟體的高複雜度與快速迭代特徵。企業與個人使用者必須採取多層防禦、加強使用者意識，才能有效抵禦此類高階威脅。

參考資料與原文來源

• iThome：Android間諜軟體ClayRat再進化，新版可自動解鎖手機並遠端操控裝置 (2025-12-04)
• Zimperium：Return of ClayRat: Expanded Features and Techniques (2025-12-08)
• Barracuda：Malware Brief: Android in the crosshairs — FvncBot, SeedSnatcher, ClayRat (2025-12-09)
• Infosecurity Magazine：ClayRat Android Spyware Expands Capabilities (2025-12-05)
• SecureWorld：ClayRat: A New Android Mobile Threat Vector (2025-12-06)

本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。