Ancaman digital kembali meningkat di ekosistem Android. Malware baru bernama ClayRat tengah menyebar dengan menyamar sebagai aplikasi populer seperti WhatsApp, TikTok, YouTube, dan Google Photos. Target utamanya adalah pengguna di Rusia, yang dijebak melalui saluran Telegram serta situs web palsu yang dirancang menyerupai halaman resmi. Begitu terpasang, ClayRat memiliki kemampuan mengakses dan mencuri data sensitif. Mulai dari pesan SMS, log panggilan, notifikasi, hingga foto kamera depan. Bahkan, spyware ini bisa melakukan panggilan keluar tanpa sepengetahuan pemilik ponsel. Peneliti keamanan dari Zimperium mengonfirmasi temuan lebih dari 600 varian dan 50 droppers dalam tiga bulan terakhir. Menunjukkan operasi ini dilakukan secara masif, terkoordinasi, dan berkelanjutan.
Strategi Licik dan Teknologi Canggih di Balik ClayRat
Kampanye ClayRat mendapatkan namanya dari server Command and Control (C2) yang digunakan untuk mengatur serangan. Para pelaku membuat situs phishing yang hampir identik dengan halaman Play Store. Lengkap dengan komentar palsu, jumlah unduhan tinggi, serta panduan langkah demi langkah untuk menginstal APK berbahaya. Bahkan, mereka menggunakan antarmuka palsu bergaya pembaruan sistem agar pengguna tidak curiga. Beberapa varian ClayRat memakai teknik “session-based installation”, metode baru untuk melewati batasan keamanan Android 13 dan versi di atasnya, sehingga pengguna merasa proses instalasi aman. Setelah aktif, spyware ini tidak hanya mengintai data pribadi, tetapi juga memanfaatkan perangkat korban untuk menyebar ke target baru lewat pesan massal. Setiap kontak dalam daftar ponsel korban dapat menerima tautan berbahaya yang mengarah pada infeksi berikutnya. Memperluas jaringan serangan secara eksponensial.
Kemampuan Pengintaian dan Upaya Mitigasi
ClayRat memiliki kemampuan luar biasa berbahaya. Ia bisa menjadi aplikasi SMS utama di perangkat korban, memungkinkan pengintaian dan manipulasi pesan sebelum diteruskan. Versi terbarunya menggunakan enkripsi AES-GCM untuk menjaga komunikasi rahasia antara perangkat dan server C2, dan mampu mengeksekusi 12 jenis perintah berbeda. Perintah ini mencakup pencurian data aplikasi, foto kamera depan, serta penyebaran SMS massal yang disusun otomatis. Menanggapi ancaman ini, Zimperium, sebagai anggota App Defense Alliance, telah berbagi indikator kompromi (IoCs) dengan Google. Kini, sistem Play Protect mampu mendeteksi serta memblokir varian ClayRat yang sudah teridentifikasi. Namun, peneliti memperingatkan bahwa kampanye ini masih aktif dan kemungkinan berevolusi lebih lanjut. Fenomena ClayRat menjadi peringatan keras bagi pengguna Android agar berhati-hati saat mengunduh aplikasi di luar Play Store, memperbarui sistem keamanan secara rutin, dan tidak mudah percaya pada tautan atau pembaruan yang beredar di Telegram maupun situs tak resmi.
