¿Descargaste WhatsApp o TikTok? El malware ClayRat ya se propaga entre tus contactos
Dispositivos infectados, cómplices involuntarios de una campaña maliciosa.
La campaña de espionaje ClayRat se está desarrollando rápidamente y apunta cada vez más a usuarios de dispositivos Android. Según la compañía Zimperium, el malware se está propagando activamente entre usuarios rusos a través de sitios falsos y canales de Telegram, haciéndose pasar por aplicaciones populares como WhatsApp, TikTok, YouTube y Google Photos. Tras la instalación, el malware obtiene acceso a un amplio espectro de funciones, incluyendo la lectura de SMS y notificaciones, la visualización de la lista de aplicaciones instaladas, la captura de fotos con la cámara frontal, así como la capacidad de realizar llamadas y enviar mensajes.
La característica principal de ClayRat es su mecanismo agresivo de autopropagación. El malware envía automáticamente enlaces maliciosos a todos los contactos de la víctima, convirtiendo el dispositivo infectado en un nodo activo de propagación. Esto permite a los creadores de la campaña escalar rápidamente el ataque sin intervención humana. En los últimos 90 días, los especialistas han registrado al menos 600 muestras únicas del spyware y alrededor de 50 descargadores. Cada nueva versión incluye niveles adicionales de camuflaje, lo que permite eludir los mecanismos de defensa.
La difusión comienza con sitios falsos que redirigen a la víctima a canales controlados por los atacantes en Telegram. Allí se ofrece descargar archivos APK maliciosos con supuestamente alta calificación de descargas y reseñas positivas. Cabe destacar el falso "YouTube Plus" con "funciones premium", cuya instalación es posible incluso en dispositivos con Android 13 y superior — a pesar de las restricciones integradas de la plataforma.
Algunas versiones de ClayRat se disfrazan de aplicaciones comunes y sirven solo como instaladores. En la pantalla se muestra una ventana falsa de actualización de Google Play, mientras que el código malicioso cifrado se oculta en recursos internos. Este enfoque reduce la desconfianza del usuario y aumenta la probabilidad de una infección exitosa. Tras la activación, el malware solicita el derecho a configurarse como la aplicación predeterminada para SMS, lo que le da acceso completo a los mensajes y las notificaciones.
ClayRat utiliza solicitudes HTTP estándar para comunicarse con la infraestructura de control y puede enviar allí información detallada sobre el dispositivo. Sus funciones incluyen también la captura de fotos, el envío de la lista de aplicaciones instaladas y la gestión de llamadas. El peligro potencial del malware no solo radica en sus capacidades de espionaje, sino también en la facultad de convertir el dispositivo infectado en una herramienta automatizada de propagación, lo que dificulta seriamente contener la amenaza.
Según Google, las versiones activas de ClayRat ya son bloqueadas en dispositivos con servicios de Google Play gracias a la protección Play Protect. Sin embargo, los atacantes continúan adaptándose y la amenaza sigue siendo relevante.
Paralelamente, investigadores de la Universidad de Luxemburgo y de la Universidad Cheikh Anta Diop estudiaron las aplicaciones preinstaladas en smartphones Android económicos vendidos en África. De 1544 archivos APK analizados, 145 filtraban datos confidenciales, 249 daban acceso a componentes críticos sin protección y 226 ejecutaban comandos con privilegios elevados. Esto indica una vulnerabilidad sistémica en esos dispositivos y riesgos adicionales para los usuarios.
Tu privacidad está muriendo lentamente, pero nosotros podemos salvarla