Ottieni una scansione gratuita e controlla se il tuo computer è infetto.
RIMUOVILO SUBITOPer utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk.
Che tipo di malware è ClayRat?
ClayRat è uno spyware per Android che prende di mira principalmente gli utenti in Russia. Si nasconde sotto forma di varie app popolari per indurre gli utenti ignari a installarlo. Una volta infiltrato in un dispositivo, il malware è in grado di acquisire varie informazioni sensibili e diffondersi ulteriormente attraverso i dispositivi infetti. Se rilevato su un dispositivo, ClayRat deve essere rimosso il prima possibile.
ClayRat in dettaglio
ClayRat comunica con i server degli aggressori utilizzando connessioni Internet standard. Il malware aggiunge un codice specifico ai propri dati per nascondere ciò che invia. Un'altra versione di ClayRat crittografa le proprie comunicazioni per renderle più difficili da rilevare.
ClayRat sfrutta una speciale impostazione Android chiamata gestore SMS predefinito. Un'app con questa impostazione può vedere e gestire tutti i messaggi di testo. Controllando questa impostazione, lo spyware può leggere qualsiasi messaggio, inviare SMS senza la conferma delle vittime, intercettare i messaggi prima che altre app li vedano e accedere o modificare i dati SMS per monitorare continuamente le comunicazioni.
In sostanza, ClayRat può utilizzare il ruolo di gestore SMS per rubare dati, spiare gli utenti e diffondersi ampiamente, aggirando le normali protezioni di sicurezza. Il malware può anche scattare foto (di solito con la fotocamera frontale) e caricarle sul proprio server di comando e controllo (C2).
Può anche ricevere comandi remoti per caricare messaggi SMS, cronologia delle chiamate e notifiche sul server e acquisire informazioni sul dispositivo. È importante notare che lo spyware può inviare automaticamente messaggi a tutti i contatti sul dispositivo della vittima con un messaggio contenente un link dannoso.
Ogni dispositivo infetto contribuisce a diffondere rapidamente il malware inviando il link a contatti fidati.
| Nome | ClayRat spyware |
| Tipo di minaccia | Spyware, malware Android |
| Nomi di rilevamento | Avast-Mobile (Android:Evo-gen [Trj]), Combo Cleaner (Android. Trojan.Banker.AVT), ESET-NOD32 (Una variante di Android/Spy.Agent.ENA), Kaspersky (HEUR:Trojan-Banker.AndroidOS.Mamont.hv), Elenco completo (VirusTotal) |
| Sintomi | Attività SMS insolita, installazioni di app inaspettate, attivazione della fotocamera senza autorizzazione. |
| Metodi di distribuzione | Siti web di phishing, messaggi SMS ingannevoli contenenti link, canali Telegram, app false che si spacciano per app popolari (ad esempio YouTube Plus, WhatsApp, Google Photos, TikTok). |
| Danni | Furto di informazioni personali, diminuzione delle prestazioni del dispositivo, scaricamento rapido della batteria, diminuzione della velocità di Internet, enormi perdite di dati, perdite monetarie, furto di identità. |
| Rimozione dei malware (Windows) |
Per eliminare possibili infezioni malware, scansiona il tuo computer con un software antivirus legittimo. I nostri ricercatori di sicurezza consigliano di utilizzare Combo Cleaner. Scarica Combo CleanerLo scanner gratuito controlla se il tuo computer è infetto. Per utilizzare tutte le funzionalità, è necessario acquistare una licenza per Combo Cleaner. Hai a disposizione 7 giorni di prova gratuita. Combo Cleaner è di proprietà ed è gestito da RCS LT, società madre di PCRisk. |
Conclusione
In conclusione, ClayRat è uno spyware Android in grado di spiare le vittime, rubare dati sensibili, scattare foto e diffondersi automaticamente tramite SMS. Sfruttando potenti autorizzazioni di sistema, aggira le normali protezioni di sicurezza e utilizza i dispositivi infetti per distribuire ulteriormente il malware.
Come ha fatto ClayRat a infiltrarsi nel mio dispositivo?
Gli autori delle minacce utilizzano domini contraffatti e pagine di phishing per reindirizzare le vittime ai canali Telegram che ospitano l'APK dannoso. Spesso forniscono istruzioni che invitano gli utenti a ignorare gli avvisi di sicurezza e a installare il malware.
I criminali informatici ampliano la loro portata creando commenti positivi falsi e gonfiando il numero di download per far sembrare affidabili i loro canali Telegram. Per quanto riguarda i siti di phishing, gli aggressori creano siti di download falsi per app popolari come YouTube Plus, WhatsApp, Google Photos e TikTok.
Questi siti ospitano APK camuffati da aggiornamenti o componenti aggiuntivi legittimi e spesso imitano i siti web ufficiali fornendo istruzioni che inducono gli utenti a scaricare l'app dannosa.
Alcune app ClayRat fungono da dropper che mostrano una finta schermata di aggiornamento del Play Store nascondendo il vero malware all'interno dell'app. Questo induce gli utenti a pensare che l'installazione sia sicura, rendendo più probabile l'installazione dello spyware.
Inoltre, ClayRat ha utilizzato la rubrica della vittima per inviare messaggi ingannevoli ai contatti. Poiché questi messaggi sembrano provenire da un mittente affidabile, i destinatari sono più propensi a seguire il link, unirsi allo stesso canale Telegram o visitare il sito di phishing.
Come evitare l'installazione di malware?
Scarica le app dagli store ufficiali come Google Play o l'App Store di Apple. Evita gli store di terze parti o i siti non ufficiali (controlla sempre gli URL prima di scaricare). Non cliccare sui link contenuti in e-mail, SMS o messaggi non richiesti ed evita di interagire con pop-up o altri contenuti su siti web sospetti.
Mantieni aggiornati il sistema operativo e le app e utilizza un'app antivirus o anti-malware affidabile. Esegui regolarmente la scansione del dispositivo alla ricerca di minacce.
Sito web falso che si finge il sito ufficiale di YouTube e ospita il malware (fonte: zimperium.com):
Schermata di aggiornamento Google Play falsa utilizzata dal malware (fonte: zimperium.com):
ClayRat richiede l'autorizzazione SMS (fonte: zimperium.com):
Menu rapido:
- Introduzione
- Come eliminare la cronologia di navigazione dal browser Chrome?
- Come disattivare le notifiche del browser nel browser web Chrome?
- Come resettare il browser Chrome?
- Come cancellare la cronologia di navigazione dal browser web Firefox?
- Come disattivare le notifiche del browser Firefox?
- Come resettare il browser web Firefox?
- Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
- Come avviare il dispositivo Android in "modalità provvisoria"?
- Come controllare l'utilizzo della batteria di varie applicazioni?
- Come controllare l'utilizzo dei dati delle varie applicazioni?
- Come installare gli ultimi aggiornamenti software?
- Come ripristinare lo stato di default del sistema?
- Come disattivare le applicazioni con privilegi di amministratore?
Eliminare la cronologia di navigazione dal browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.
Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".
Disattivare le notifiche del browser nel browser Chrome:
Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.
Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).
Reimpostare il browser Chrome:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".
Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Cancellare la cronologia di navigazione dal browser Firefox:
Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.
Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".
Disattivare le notifiche del browser nel browser Firefox:
Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".
Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".
Reimpostare il browser web Firefox:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".
Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.
Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.
Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".
Avviare il dispositivo Android in "modalità provvisoria":
La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").
Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.
Controllare l'utilizzo della batteria delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.
Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.
Controllare l'utilizzo dei dati delle varie applicazioni:
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.
Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.
Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.
Installare gli ultimi aggiornamenti del software:
Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.
Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.
Ripristinare lo stato di default del sistema:
L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.
È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.
Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;
Disattivate le applicazioni che hanno privilegi di amministratore:
Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.
Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.
Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".
Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".
Domande frequenti (FAQ)
Il mio dispositivo è stato infettato dal malware ClayRat, devo formattare il mio dispositivo di archiviazione per eliminarlo?
No, spesso non è necessario ricorrere a misure così drastiche. I malware come ClayRat possono solitamente essere rimossi senza formattare il dispositivo utilizzando un antivirus o uno strumento anti-malware affidabile come Combo Cleaner.
Quali sono i problemi più gravi che possono causare i malware?
Il malware può causare furti di dati, perdite finanziarie, danni al dispositivo (ad esempio, crittografia dei file), ulteriori infezioni e problemi simili.
Qual è lo scopo del malware ClayRat?
Questo malware può rubare dati (ad esempio leggere SMS, raccogliere informazioni sul dispositivo), spiare gli utenti, scattare foto utilizzando la fotocamera del dispositivo e diffondersi ulteriormente tramite SMS sfruttando i dispositivi infetti.
Come ha fatto ClayRat a infiltrarsi nel mio dispositivo?
ClayRat si diffonde attraverso siti web falsi e pagine di phishing che reindirizzano gli utenti a canali Telegram che ospitano l'app dannosa. Questi siti imitano app popolari e forniscono istruzioni false per indurre gli utenti a installare il malware, a volte utilizzando schermate di aggiornamento false per sembrare legittimi.
Combo Cleaner mi proteggerà dal malware?
Sì, Combo Cleaner è in grado di rilevare e rimuovere la maggior parte delle infezioni da malware conosciute. Tuttavia, il malware avanzato può nascondersi in profondità nel sistema, quindi si consiglia vivamente di eseguire una scansione completa del sistema.
Condividi:
Facebook
X.com
LinkedIn
Copia link
Tomas Meskauskas
Esperto ricercatore nel campo della sicurezza, analista professionista di malware
Sono appassionato di sicurezza e tecnologia dei computer. Ho un'esperienza di oltre 10 anni di lavoro in varie aziende legate alla risoluzione di problemi tecnici del computer e alla sicurezza di Internet. Dal 2010 lavoro come autore ed editore per PCrisk. Seguimi su Twitter e LinkedIn per rimanere informato sulle ultime minacce alla sicurezza online.
Il portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
DonazioneIl portale di sicurezza PCrisk è offerto dalla società RCS LT.
I ricercatori nel campo della sicurezza hanno unito le forze per aiutare gli utenti di computer a conoscere le ultime minacce alla sicurezza online. Maggiori informazioni sull'azienda RCS LT.
Le nostre guide per la rimozione di malware sono gratuite. Tuttavia, se vuoi sostenerci, puoi inviarci una donazione.
Donazione
▼ Mostra Discussione