Un nuevo spyware para Android llamado ClayRat está circulando con fuerza, haciéndose pasar por aplicaciones muy conocidas como WhatsApp, Google Photos, TikTok y YouTube. Su objetivo es claro: engañar a los usuarios para instalarlo y luego espiarlos sin que se den cuenta.
Este malware se está distribuyendo principalmente a través de canales de Telegram y sitios web falsos que imitan páginas legítimas, lo que facilita que los usuarios bajen la guardia. Una vez activo, ClayRat puede leer tus mensajes SMS, ver registros de llamadas, capturar notificaciones, tomar fotos con la cámara del dispositivo e incluso realizar llamadas de forma remota.
En los últimos tres meses, se han identificado más de 600 variantes distintas de este software espía y al menos 50 métodos de instalación diferentes, lo que demuestra que los atacantes están invirtiendo recursos para ampliar y perfeccionar su campaña.
En TecnetOne, queremos mantenerte informado sobre este tipo de amenazas para que puedas proteger tu dispositivo y tu información personal de forma segura y consciente.
La campaña detrás del spyware ClayRat (que toma su nombre del servidor de comando y control (C2) que utiliza) está cuidadosamente diseñada para parecer legítima y confiable. Los atacantes han creado sitios web falsos que imitan con gran detalle a páginas oficiales de servicios conocidos. Estos portales de phishing están pensados para engañar al usuario desde el primer clic.
Cuando una víctima accede a uno de estos sitios, es redirigida a canales de Telegram donde se comparten archivos APK infectados, es decir, las versiones falsas de apps como WhatsApp o TikTok que contienen el malware.
Para que todo parezca real, los cibercriminales se han tomado el tiempo de agregar comentarios falsos, inflar los números de descargas y diseñar una interfaz que imita a la perfección la experiencia de la Google Play Store. Incluso incluyen instrucciones paso a paso sobre cómo instalar el APK y eludir las advertencias de seguridad de Android, haciendo que el proceso parezca totalmente normal.
Actualización falsa que carga el software espía en segundo plano (Fuente: Zimperium)
Algunas variantes del malware ClayRat funcionan como "goteros" (droppers), lo que significa que la app que ves al instalarla no es más que una fachada. En muchos casos, lo único visible para el usuario es una pantalla falsa de actualización de Google Play, mientras que el verdadero malware (una carga útil cifrada) está oculto dentro de los archivos internos de la aplicación.
Para colarse en el sistema sin levantar sospechas, los atacantes usan un método de instalación llamado “instalación basada en sesión”, diseñado para evadir las restricciones de seguridad de Android 13 y versiones posteriores. Esta técnica también reduce la probabilidad de que el usuario desconfíe del proceso, ya que todo parece funcionar de manera normal.
En pocas palabras: el proceso de instalación se ve limpio, pero en realidad estás dejando entrar un spyware.
Una vez que ClayRat se instala y comienza a funcionar, puede usar tu dispositivo como punto de partida para infectar a otras personas. Por ejemplo, es capaz de enviar mensajes SMS maliciosos a todos tus contactos, ampliando así su red de víctimas sin que tú lo sepas.
Canal de Telegram difundiendo cuentagotas ClayRat
Podría interesarte leer: Nuevo Gusano de WhatsApp Infecta Usuarios con Malware Bancario
Una vez instalado, ClayRat toma el control total de los mensajes SMS del dispositivo. Se configura como la app de SMS predeterminada, lo que le permite leer todos los mensajes entrantes, acceder al historial de mensajes guardados e incluso interceptarlos antes de que lleguen a otras aplicaciones.
Además, tiene la capacidad de modificar las bases de datos de SMS, lo que significa que puede alterar o eliminar mensajes sin que el usuario lo note. En otras palabras, no solo espía tus conversaciones, sino que también puede manipular lo que ves o no ves en tu bandeja de entrada.
ClayRat se convierte en el controlador de SMS predeterminado (Fuente: Zimperium)
Cuando el spyware se instala en el dispositivo, establece comunicación con su servidor de comando y control (C2). En sus versiones más recientes, esta conexión está cifrada con AES-GCM, un estándar de seguridad bastante robusto, lo que le permite enviar y recibir órdenes sin ser detectado fácilmente.
El malware está programado para ejecutar hasta 12 comandos diferentes, que le permiten extraer datos, espiar al usuario y seguir propagándose. Aquí te contamos, qué puede hacer ClayRat una vez que está activo:
Obtener lista de apps instaladas (get_apps_list): Envía al servidor la lista completa de aplicaciones que tienes en el teléfono.
Acceder al historial de llamadas (get_calls): Extrae y comparte todos tus registros de llamadas.
Tomar fotos con la cámara frontal (get_camera): Puede capturar imágenes sin que lo sepas y enviarlas directamente al servidor del atacante.
Leer tus SMS (get_sms_list): Roba todos los mensajes SMS almacenados en el dispositivo.
Enviar SMS masivos (messsms): Envía mensajes a todos tus contactos con el fin de propagar el malware o realizar campañas maliciosas.
Enviar SMS o hacer llamadas (send_sms / make_call): Utiliza tu teléfono como si fueras tú para comunicarse con otros números.
Capturar notificaciones (get_push_notifications): Monitorea las notificaciones que recibes, incluyendo mensajes, correos y alertas de apps.
Recopilar información del dispositivo (get_device_info): Envía al servidor detalles como el modelo del teléfono, sistema operativo, idioma, IP, y más.
Configurar conexiones proxy para comunicarse (get_proxy_data): Utiliza técnicas avanzadas para convertir tráfico HTTP o HTTPS en conexiones WebSocket, lo que le permite comunicarse más fácilmente y ejecutar tareas en segundo plano.
Reenviar SMS específicos (relay): Redirige mensajes a otros números según las instrucciones del servidor.
Además, cuando el usuario (sin saberlo) concede los permisos necesarios, ClayRat puede acceder a tu lista de contactos, escribir y enviar mensajes de forma automática a cada uno, ampliando así su alcance como si se tratara de una campaña de spam personalizada.
Sí. Como parte de su trabajo conjunto con la App Defense Alliance, se ha informado que Google Play Protect ya bloquea muchas de las variantes conocidas y recientes de ClayRat, lo que ayuda a prevenir nuevas infecciones desde apps detectadas.
Sin embargo, esta campaña sigue activa y en expansión. En solo tres meses, ya se han identificado más de 600 muestras diferentes del spyware, lo que demuestra el esfuerzo constante de los atacantes por evadir las defensas y seguir propagando esta amenaza.
Conoce más sobre: Ingeniería social + Experiencia de Usuario: La Fórmula de los Hackers
En TecnetOne, sabemos que la mejor manera de proteger tus dispositivos (y tu información) es anticiparse a las amenazas. Aquí te compartimos algunas buenas prácticas para reducir el riesgo de infección por spyware como ClayRat:
Instala solo desde Google Play Store: Evita descargar archivos APK desde sitios no verificados o enlaces compartidos por terceros.
Desconfía de actualizaciones externas: Si una app te pide actualizar fuera de la tienda oficial, es probable que estés frente a una trampa.
Verifica los permisos que concedes: Una app de entretenimiento no debería pedir acceso a tus mensajes, llamadas o cámara.
Mantén tus dispositivos actualizados: Las últimas versiones del sistema operativo y las apps suelen corregir fallas de seguridad críticas.
Utiliza una solución de seguridad confiable: Un buen antivirus para Android puede detectar y bloquear amenazas antes de que actúen.
Fomenta la concientización en ciberseguridad: Una parte clave de la protección es educar a los usuarios. Enseñar a reconocer enlaces sospechosos, evitar la descarga de apps dudosas y no otorgar permisos sin revisar es esencial para evitar caer en trampas como ClayRat.
Además, cuando se trata de proteger infraestructura crítica o datos empresariales, es fundamental contar con herramientas de seguridad más robustas. Soluciones como los sistemas EDR (Endpoint Detection and Response), copias de seguridad automatizadas y protección centralizada permiten prevenir, detectar y responder de forma efectiva ante este tipo de ataques.
En TecnetOne desarrollamos TecnetProtect, nuestra solución integral de ciberseguridad y respaldo. Combina protección avanzada contra malware, gestión de dispositivos y recuperación ante incidentes, con tecnología de Acronis, pero con soporte local, personalizado y adaptado a tu organización.
Protegerte del spyware no tiene por qué ser complicado. Con buenas prácticas y las herramientas adecuadas, puedes mantener tu información (y la de tu empresa) segura.