Un nuevo malware llamado ClayRat está afectando a usuarios de Android y se disfraza de aplicaciones populares como WhatsApp, TikTok, YouTube o Google Fotos.
El software espía, detectado por la empresa de seguridad móvil Zimperium, se difunde a través de canales de Telegram y sitios web falsos que imitan portales oficiales para engañar a las víctimas y conseguir que descarguen APK maliciosos.
En los últimos tres meses, los investigadores de Zimperium han identificado más de 600 muestras y alrededor de 50 instaladores distintos, lo que indica una campaña amplia y en constante evolución.
Los atacantes crean páginas de phishing con comentarios falsos, contadores de descargas inflados y una interfaz que simula la de Google Play, además de instrucciones detalladas para eludir las advertencias de seguridad de Android.
Cuando el usuario instala el paquete malicioso, la app puede mostrar una pantalla de actualización falsa mientras ejecuta el spyware en segundo plano. ClayRat utiliza un método de instalación “basado en sesiones” que le permite sortear algunas restricciones introducidas en Android 13 y versiones posteriores, reduciendo las sospechas del usuario.
Una vez activo, el malware puede hacerse con privilegios avanzados como leer y exfiltrar SMS, acceder al registro de llamadas, tomar fotos con la cámara frontal, capturar notificaciones y, con el permiso oportuno, convertirse en la app predeterminada de SMS, lo que le otorga control total sobre los mensajes del dispositivo. Además, puede enviar SMS masivos a los contactos de la víctima para propagarse rápidamente.
ClayRat se comunica con sus servidores de mando y control mediante canales cifrados y soporta múltiples comandos remotos para extraer listas de aplicaciones instaladas, obtener información del dispositivo, reenviar mensajes o iniciar llamadas.
Zimperium ha compartido los indicadores de compromiso (IoC) con Google y, desde entonces, Play Protect bloquea las variantes conocidas. Aun así, los expertos advierten que la campaña sigue activa y que los usuarios deben evitar descargar aplicaciones desde enlaces externos o canales de Telegram.
Conoce cómo trabajamos en ComputerHoy.