Una peligrosa campaña de spyware para Android se está expandiéndose rápidamente bajo el nombre de ClayRat, haciéndose pasar por falsas aplicaciones de WhatsApp, TikTok, Google Fotos y YouTube para infectar a los usuarios e infectar sus dispositivos Android. De acuerdo al informe emitido por los investigadores Zimperium, este malware combina las tácticas del phishing, ingeniería social y distribución a través de canales de Telegram para alcanzar miles de victimas.
Su código malicioso es capaz de robar información personal, acceder a la cámara y hasta realizar llamadas y enviar mensajes desde el teléfono de la victima, convirtiéndose en una de las amenazas más agresivas que se han detectado de lo que va este año 2025.
ClayRat se disfraza de apps populares para espiar y propagarse
Una vez que la aplicación logra instalarse, ejecuta una serie de acciones sin conocimiento de la victima en su teléfono Android. El software malicioso extrae SMS, registro de llamadas, notificaciones e información del dispositivo, también es capas de tomar fotos con la cámara frontal o enviar mensajes desde el número de la victima.
ClayRat puede filtrar mensajes SMS, tomar fotos con la cámara frontal y realizar llamadas directamente desde el dispositivo comprometido, explicó Vishnu Pratapagiri, investigador de Zimperium.
Este malware también utiliza una táctica de expansión automática, se encarga de enviar enlaces maliciosos a todos los contactos de la victima, para luego multiplicar su alcance. Según el informe, en los últimos 90 días se han detectado al menos 600 muestras del spyware y 50 droppers diferentes, cada uno con mayores niveles de ofuscación para evadir las defensas del sistema operativo Android.
Se trata de una cadena de infección sofisticada y engañosa
ClayRat trabaja mediante sitios web falsos que imitan páginas oficiales de App populares, estos sitios redirigen a los visitantes a canales de Telegram controlados por los atacantes, en donde se ofrecen archivos APK con descargas infladas y reseñas falsas para aparentar legitimidad.
En algunos casos se mencionan supuestas versiones como “YouTube Plus”, que supuestamente ofrece funciones premium, pero en realidad lo que están descargando es malware. Las versiones más recientes incluso emulan pantallas falsas de actualización de Play Store, ocultando el verdadero archivo malicioso dentro de los recursos de la aplicación.
Lógicamente, este procedimiento reduce la sospecha del usuario y facilita la instalación del malware, incluso, en dispositivos con Android 13 o superior, en donde Google endureció las restricciones a las instalación de App laterales.
Relacionado / Adiós a instalar APKs en Android: Google fija la única forma y fecha de la nueva restricción
Una vez que el malware está activo, ClayRat se comunica con su servidor de comando y control (C2) mediante HTTP estándar y solicita al usuario ser configurado como una aplicación predeterminada de SMS, lo que concede acceso total al contenido de los mensajes y notificaciones.
Google responde y refuerza la protección con Play Protect
Recientemente un portavoz de Google aseguró que los dispositivos Android con Google Play Services se encuentra protegidos contra variantes conocidas del malware gracias a Play Protect, que se encarga de analizar las aplicaciones en busca de comportamientos sospechosos.
No obstante, ClayRat ha destacado por su sofisticación y persistencia, recordando la importancia de evitar instalaciones fuera de la tienda de aplicaciones de Google, incluso si parecen versiones legítimas de servicios populares.
