Redazione RHC : 29 Ottobre 2025 07:15
La campagna spyware ClayRat si sta espandendo rapidamente e prende di mira sempre più gli utenti Android. Secondo Zimperium, il malware si sta diffondendo attivamente tra gli utenti russi attraverso falsi siti web e canali Telegram, camuffandosi da app popolari come WhatsApp, TikTok, YouTube e Google Foto.
Una volta installato, il malware ottiene l’accesso a un’ampia gamma di funzioni, tra cui la lettura di SMS e notifiche, la visualizzazione dell’elenco delle app installate, lo scatto di foto con la fotocamera frontale, l’effettuazione di chiamate e l’invio di messaggi.
La caratteristica principale di ClayRat è il suo aggressivo meccanismo di autopropagazione. Il malware invia automaticamente link dannosi a tutti i contatti della vittima, trasformando il dispositivo infetto in un hub di distribuzione attivo. Ciò consente ai creatori della campagna di scalare rapidamente i loro attacchi senza l’intervento umano.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Negli ultimi 90 giorni, gli specialisti hanno identificato almeno 600 campioni di spyware unici e circa 50 downloader. Ogni nuova versione include ulteriori livelli di stealth, consentendo di aggirare i meccanismi di difesa.
La distribuzione inizia tramite siti web falsi che reindirizzano le vittime ai canali Telegram controllati dagli aggressori. Questi canali offrono file APK dannosi con presunte alte percentuali di download e recensioni positive. Di particolare rilievo è la falsa app “YouTube Plus” con “funzionalità premium”, che può essere installata anche su dispositivi con Android 13 o versioni successive, nonostante le limitazioni integrate nella piattaforma.
Alcune versioni di ClayRat si mascherano da app legittime e agiscono esclusivamente come programmi di installazione. Sullo schermo viene visualizzata una finta finestra di aggiornamento di Google Play, mentre il codice dannoso crittografato è nascosto nelle risorse interne dell’app. Questo approccio abbassa la guardia dell’utente e aumenta la probabilità di un’infezione riuscita. Una volta attivato, il malware richiede l’autorizzazione per essere impostato come app SMS predefinita, ottenendo pieno accesso a messaggi e notifiche.
ClayRat utilizza richieste HTTP standard per comunicare con l’infrastruttura di controllo e può trasmettere informazioni dettagliate sul dispositivo. Le sue funzioni includono anche l’acquisizione di foto, l’invio di un elenco delle applicazioni installate e la gestione delle chiamate. Il potenziale pericolo di questo malware non risiede solo nelle sue capacità di spionaggio, ma anche nella sua capacità di trasformare un dispositivo infetto in uno strumento di distribuzione automatizzata, il che ne complica notevolmente il contenimento.
Secondo Google, le versioni attive di ClayRat sono già bloccate sui dispositivi che eseguono Google Play Services grazie a Play Protect. Tuttavia, gli aggressori continuano ad adattarsi e la minaccia rimane rilevante.
Nel frattempo, i ricercatori dell’Università del Lussemburgo e dell’Università Cheikh Anta Diop hanno esaminato le app preinstallate sugli smartphone Android economici venduti in Africa. Dei 1.544 file APK analizzati, 145 hanno esposto dati sensibili, 249 hanno fornito accesso non protetto a componenti critici e 226 hanno eseguito comandi con privilegi elevati. Ciò indica una vulnerabilità di sistema su questi dispositivi e ulteriori rischi per gli utenti.
Redazione18 novembre 2025 – Dopo ore di malfunzionamenti diffusi, l’incidente che ha colpito la rete globale di Cloudflare sembra finalmente vicino alla risoluzione. L’azienda ha comunicato di aver imple...
La mattinata del 18 novembre 2025 sarà ricordata come uno dei blackout più anomali e diffusi della rete Cloudflare degli ultimi mesi. La CDN – cuore pulsante di milioni di siti web, applicazioni e...
La stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
