Eine groß angelegte Spionagekampagne zielt auf Android-Nutzer in Russland: Die Schadsoftware ClayRat gibt sich als legitime Anwendungen wie WhatsApp, Google Photos, TikTok oder YouTube aus. Verbreitet wird sie über Telegram-Kanaele und täuschend echte Phishing-Seiten, die dem Google-Play-Design nachempfunden sind. Ziel ist Datendiebstahl und die Ausweitung der Reichweite über die Kontaktlisten infizierter Geräte.
Taktiken der Angreifer: Fake-Play-Seiten, Telegram-Distribution und Social Engineering
Die Betreiber registrieren Domains, die offiziellen Marken ähneln, platzieren dort gefälschte Store-Seiten und bieten APK-Downloads an. Alternativ leiten sie auf Telegram-Kanäle weiter, wo „Updates“ oder „Vollversionen“ versprochen werden. Gefälschte Bewertungen, manipulierte Installationszähler und Schritt-für-Schritt-Anleitungen zum manuellen Installieren sollen die Hürde des Sideloadings senken.
Beweis für Skalierung: Hunderte Samples, Dutzende Dropper
Nach Angaben von Zimperium wurden binnen drei Monaten über 600 eindeutige Malware-Varianten und 50 unterschiedliche Dropper identifiziert. Einige Dropper zeigen einen vorgetäuschten „Play-Store-Update“-Bildschirm und verbergen die Nutzlast verschlüsselt in App-Ressourcen, bis die Installation abgeschlossen ist. Diese Vielfalt deutet auf eine aktive, sich kontinuierlich anpassende Infrastruktur hin.
So umgeht ClayRat Android 13: Sessional statt klassischem Sideload
Session-Installation erklärt
Android kennt zwei Installationspfade: die direkte Installation (klassisches Sideloading) und die sessionbasierte Installation, die auch bei Split-APK-Paketen aus Google Play verwendet wird. ClayRat missbraucht letztere Methode, um sich legitimer zu präsentieren und Sicherheitsprüfungen anders greifen zu lassen.
Restricted Setting aushebeln
Seit Android 13 schützt die Funktion Restricted Setting sensible Berechtigungen (z. B. Zugriff auf Benachrichtigungen) bei Apps, die außerhalb des Stores installiert werden. Forschungen von ThreatFabric (2023) zeigten am Beispiel des Droppers „SecuriDropper“, dass sessionbasierte Installationen diese Hürden teilweise anders auslösen. ClayRat nutzt dieses Verhalten, um die Verdachtsmomente zu minimieren und Berechtigungen leichter zu erlangen.
Funktionen der Malware: Datendiebstahl, SMS-Missbrauch und verschlüsseltes C2
Nach der Infektion setzt sich ClayRat häufig als Standard-SMS-App durch. Dadurch erhält die Malware Prioritätszugriff auf eingehende Nachrichten, kann SMS, Anruflisten und Benachrichtigungen abgreifen, Fotos über die Kamera auslösen und sogar Anrufe initiieren. Kontakte werden automatisiert exfiltriert; anschließend verschickt die Malware massenhaft SMS, um sich in den Vertrauensnetzen der Opfer weiter zu verbreiten.
Die Kommunikation mit der Command-and-Control-Infrastruktur erfolgt über verschlüsselten Traffic; neuere Varianten verwenden AES‑GCM. Das Backend kann bis zu 12 Kommandos ausliefern, was flexible Fernsteuerung und zielgerichteten Datendiebstahl ermöglicht.
Erkennung, Gegenmaßnahmen und verbleibende Risiken
Zimperium hat Indikatoren einer Kompromittierung (IoCs) an Google übermittelt. Google Play Protect erkennt und blockiert nach aktuellem Stand bekannte und neue Varianten. Risiko besteht jedoch fort, wenn Anwender Apps aus unbekannten Quellen installieren oder Telegram-Anleitungen folgen.
Empfehlungen: APK-Downloads von inoffiziellen Domains vermeiden, URLs sorgfältig prüfen und das Installieren aus „Unbekannten Quellen“ standardmäßig deaktiviert lassen. Achten Sie darauf, wenn Apps sich als Standard-SMS-Handler einrichten oder Zugriff auf Benachrichtigungen beziehungsweise Bedienungshilfen fordern. Geräte und Apps aktuell halten, Play Protect aktiviert lassen und etablierte Mobile-Security-Lösungen mit Netzwerk-Analyse einsetzen.
ClayRat zeigt, wie die Kombination aus plausibler Social Engineering, sessionbasierter Installation und aggressivem SMS-Zugriff Schutzmechanismen umgeht und Kampagnen schnell skaliert. Unternehmen und Privatanwender sollten Sensibilisierungsmaßnahmen stärken, auf neue IoCs reagieren und verdächtige APKs oder Distributionskanäle konsequent an Google und Security-Anbieter melden.
