Il nuovo spyware Android ClayRat rappresenta una minaccia in rapida evoluzione per la sicurezza mobile, con un focus particolare sugli utenti russi. ClayRat si distingue per la sua capacità di diffondersi sfruttando canali Telegram e siti di phishing che imitano app popolari come WhatsApp, Google Photos, TikTok e YouTube. Attraverso questi canali, gli utenti vengono indotti a scaricare app apparentemente legittime che contengono invece il malware.
Una volta installato sul dispositivo, ClayRat ha accesso a numerose funzionalità sensibili. Può sottrarre SMS, registri chiamate, notifiche e informazioni sul dispositivo, oltre a scattare foto con la fotocamera frontale. Particolarmente insidiosa è la possibilità per lo spyware di inviare messaggi o effettuare chiamate direttamente dal telefono infettato, sfruttando così il dispositivo come vettore per diffondere ulteriormente il malware tramite link dannosi inviati a tutti i contatti presenti in rubrica.
L’aspetto più preoccupante di ClayRat è la sua capacità di auto-propagarsi, una strategia aggressiva che trasforma ogni telefono compromesso in un nodo di distribuzione automatica senza bisogno di intervento manuale da parte dei cybercriminali. Secondo le analisi, sono stati identificati oltre 600 campioni di malware e 50 dropper in soli 90 giorni. Ogni nuova versione introduce metodi di offuscamento sempre più sofisticati per eludere i sistemi di rilevamento e le difese di sicurezza.
Il processo di attacco prevede che le vittime vengano reindirizzate su canali Telegram controllati dagli hacker, dove vengono persuase a scaricare file APK. Per rendere più credibili questi download, vengono mostrate testimonianze false e numeri di download gonfiati. Alcuni siti propongono anche versioni “Plus” di app note, in grado di aggirare le protezioni di sicurezza di Google, soprattutto per i dispositivi con Android 13 e successivi.
Alcune varianti di ClayRat si comportano come dropper, mostrando una schermata fittizia di aggiornamento del Play Store e installando il payload dannoso in modo nascosto. Il malware comunica poi con la propria infrastruttura C2 via HTTP e richiede di essere impostato come app predefinita per gli SMS, così da ottenere accesso privilegiato alle comunicazioni sensibili dell’utente.
Google ha dichiarato che Play Protect protegge automaticamente gli utenti Android dalle versioni note di questa minaccia, ma la rapida evoluzione di ClayRat rende fondamentale mantenere sempre alta l’attenzione, evitare il sideloading di app da fonti non ufficiali e aggiornare regolarmente i dispositivi.