Los ciberataques móviles encaran una fase más refinada y peligrosa: ClayRat es un software espía para Android que se camufla como apps tan familiares como WhatsApp o TikTok para robar datos y expandirse entre contactos.
Según investigadores de Zimperium, la operación crece a buen ritmo y ya acumula más de 600 muestras y 50 droppers, distribuidos mediante canales de Telegram y sitios que fingen ser oficiales, incluidos falsos TikTok Shop. Por su alcance y su ingeniería social, estamos ante una campaña especialmente activa.
Qué es ClayRat y por qué se hace pasar por apps populares
Bautizado por el nombre de su infraestructura de mando y control, ClayRat combina suplantación de identidad con phishing avanzado. Los atacantes levantan portales que imitan la apariencia de Google Play o de las páginas de WhatsApp, TikTok, YouTube o Google Fotos, con instrucciones para instalar APK a mano.
Estas webs muestran reseñas inventadas, contadores de descargas inflados y comentarios generados para inspirar confianza. El anzuelo se refuerza con supuestas versiones “Plus” o “premium” de aplicaciones famosas, cuando en realidad el usuario está autorizando la instalación del spyware.
Cadena de infección: instalación «por sesión» y droppers
Una de sus bazas es un método de instalación basado en sesión que reduce las alertas visibles y ayuda a esquivar restricciones introducidas en Android 13 y versiones posteriores, imitando el flujo de las apps legítimas. Estas técnicas contrastan con las mejoras de seguridad que traen versiones como Android 13 y versiones posteriores.
Muchas variantes actúan como droppers: muestran una pantalla falsa de actualización de Play Store mientras descargan y ejecutan en segundo plano la carga útil cifrada. Después, el malware se oculta entre procesos del sistema a la espera de conectarse a su servidor remoto. Estos mecanismos recuerdan a otras amenazas como droppers y troyanos móviles.
Qué puede hacer una vez dentro del teléfono
Una vez infectado el dispositivo, ClayRat solicita permisos sensibles (SMS, contactos, cámara y micrófono) y trata de ser la aplicación predeterminada de SMS. Con ello, puede interceptar, leer y modificar mensajes antes de que lleguen a otras apps, un riesgo que forma parte del riesgo del malware móvil.
Además, el spyware es capaz de exfiltrar SMS, capturar notificaciones, consultar el registro de llamadas, tomar fotos con la cámara frontal y hasta iniciar llamadas o enviar mensajes sin intervención del usuario.
- get_apps_list: envía el listado de aplicaciones instaladas.
- get_calls: recopila los registros de llamadas del dispositivo.
- get_camera: toma una foto con la cámara frontal y la sube al servidor.
- get_sms_list / messms: roba SMS o lanza envíos masivos para propagarse.
- send_sms / make_call: ejecuta llamadas o envía mensajes desde el número de la víctima.
- get_device_info: obtiene datos del dispositivo y de la red.
- get_proxy_data: convierte tráfico HTTP/HTTPS en túneles WebSocket para camuflar comunicaciones.
Para las comunicaciones, ClayRat usa cifrado AES-GCM y envío fragmentado de datos para complicar la detección. La función de proxy permite ocultar el tráfico C2 tras túneles basados en WebSocket.
La campaña también tira de propagación automatizada: cada teléfono comprometido se aprovecha como nodo de distribución que reenvía enlaces maliciosos por SMS a toda la agenda de contactos, multiplicando así el alcance del ataque.
Alcance de la campaña y respuesta de la industria
En los últimos meses, Zimperium ha identificado más de 600 muestras y alrededor de 50 droppers diferentes, un volumen que evidencia una operación en evolución. Algunos reportes sitúan la actividad inicialmente con mayor incidencia en Rusia, con potencial para expandirse a otros países.
Los indicadores de compromiso han sido compartidos con Google y Play Protect ya bloquea variantes conocidas. Aun así, los expertos recalcan que la campaña sigue activa y que la mejor defensa pasa por evitar las instalaciones desde enlaces externos o canales de Telegram.
Cómo minimizar riesgos
La recomendación principal es sencilla: no instales APK de fuentes desconocidas. Desconfía de supuestas versiones “Plus” o “premium” de apps populares y evita seguir enlaces de descarga en redes sociales o mensajería.
- Mantén el sistema actualizado y activa Google Play Protect para escaneos continuos.
- Revisa con frecuencia los permisos de las apps (SMS, cámara, micrófono, contactos) y revoca los innecesarios.
- Comprueba qué app es la predeterminada de SMS y restaura la oficial si algo cambió sin tu consentimiento.
- Atiende señales de alerta: mensajes salientes no autorizados, picos de batería o datos, y comportamientos extraños.
- Usa una solución de seguridad móvil reputada que detecte droppers y actividades C2.
Si sospechas infección, lo más eficaz es desconectar el dispositivo, hacer copia de lo imprescindible, restablecer a fábrica y reinstalar únicamente apps desde Google Play. Cambia contraseñas y activa la verificación en dos pasos en los servicios críticos.
ClayRat ha demostrado cómo un spyware puede hacerse pasar por WhatsApp y TikTok para vulnerar la confianza de los usuarios, evadir defensas recientes de Android y aprovechar a las propias víctimas como altavoz del ataque; extremar las precauciones con los orígenes de descarga y los permisos es, hoy por hoy, la barrera más eficaz.
