ClayRat: El software espía que ataca a los usuarios de Android mediante autopropagación

Redazione RHC : 29 octubre 2025 07:15

La campaña de spyware ClayRat se está expandiendo rápidamente y cada vez más se dirige a los usuarios de Android. Según Zimperium, el malware se está propagando activamente entre usuarios rusos a través de sitios web falsos y canales de Telegram, haciéndose pasar por aplicaciones populares como WhatsApp, TikTok, YouTube y Google Fotos .

Una vez instalado, el malware obtiene acceso a una amplia gama de funciones, incluida la lectura de SMS y notificaciones, la visualización de la lista de aplicaciones instaladas, la toma de fotografías con la cámara frontal, la realización de llamadas y el envío de mensajes.

La característica principal de ClayRat es su agresivo mecanismo de autopropagación. El malware envía automáticamente enlaces maliciosos a todos los contactos de la víctima, convirtiendo el dispositivo infectado en un centro de distribución activo . Esto permite a los creadores de la campaña escalar rápidamente sus ataques sin intervención humana.

En los últimos 90 días, los especialistas han identificado al menos 600 muestras únicas de spyware y aproximadamente 50 descargadores. Cada nueva versión incluye niveles adicionales de sigilo, lo que le permite eludir los mecanismos de defensa.

La distribución comienza a través de sitios web falsos que redirigen a las víctimas a canales de Telegram controlados por los atacantes. Estos canales ofrecen archivos APK maliciosos con supuestas altas tasas de descarga y reseñas positivas. Cabe destacar la aplicación falsa » YouTube Plus » con funciones premium, que puede instalarse incluso en dispositivos con Android 13 o posterior, a pesar de las limitaciones de la plataforma.

Algunas versiones de ClayRat se hacen pasar por aplicaciones legítimas y actúan únicamente como instaladores. Aparece una ventana falsa de actualización de Google Play, mientras que el código malicioso cifrado se oculta en los recursos internos de la aplicación. Este método reduce la guardia del usuario y aumenta la probabilidad de una infección exitosa. Una vez activado, el malware solicita permiso para configurarse como la aplicación de SMS predeterminada, obteniendo acceso completo a los mensajes y notificaciones.

ClayRat utiliza solicitudes HTTP estándar para comunicarse con la infraestructura de control y puede transmitir información detallada sobre el dispositivo . Sus funciones también incluyen la captura de fotos, el envío de una lista de aplicaciones instaladas y la gestión de llamadas. El peligro potencial de este malware reside no solo en su capacidad de espionaje, sino también en su capacidad de convertir un dispositivo infectado en una herramienta de distribución automatizada, lo que dificulta considerablemente su contención.

Según Google, las versiones activas de ClayRat ya están bloqueadas en dispositivos con Google Play Services gracias a Play Protect . Sin embargo, los atacantes siguen adaptándose y la amenaza sigue vigente.

Mientras tanto, investigadores de la Universidad de Luxemburgo y la Universidad Cheikh Anta Diop examinaron aplicaciones preinstaladas en smartphones Android de bajo coste vendidos en África. De los 1544 archivos APK analizados, 145 expusieron datos confidenciales, 249 proporcionaron acceso sin protección a componentes críticos y 226 ejecutaron comandos con privilegios elevados. Esto indica una vulnerabilidad del sistema en estos dispositivos y mayores riesgos para los usuarios.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli