Investigadores han documentado una campaña de espionaje a gran escala dirigida a usuarios de Android en Rusia. El malware, identificado como ClayRat, se disfraza de aplicaciones legítimas como WhatsApp, Google Photos, TikTok y YouTube, y se distribuye a través de canales de Telegram y sitios de phishing que imitan a Google Play. Una vez instalado, roba SMS, registros de llamadas y notificaciones, realiza capturas con la cámara y puede incluso iniciar llamadas desde el dispositivo comprometido.
Vector de distribución: dominios falsos y Telegram con apariencia de Google Play
Los operadores registran dominios acortados o con errores tipográficos que recuerdan a los oficiales y despliegan páginas con interfaz clonada de Google Play. Estos sitios alojan directamente APK maliciosos o redirigen a canales de Telegram donde se ofrece una “actualización” o “versión completa”. Para generar confianza, se muestran reseñas falsas, contadores de instalaciones manipulados y guías paso a paso para instalar APK manualmente, eludiendo los controles por defecto de Android.
Alcance y evolución: cientos de muestras y decenas de droppers
De acuerdo con Zimperium, en tres meses se detectaron más de 600 muestras únicas y 50 droppers distintos, evidenciando una infraestructura activa y en evolución. Algunos cargadores muestran una pantalla simulada de “actualización de Play Store” mientras ocultan la carga útil cifrada dentro de los recursos de la app hasta el momento de la instalación.
Cómo evaden Android 13: instalación por sesión frente al sideloading tradicional
Dos modelos de instalación en Android
Android admite instalación directa (sin sesión), en la que el APK se entrega al instalador del sistema, y por sesión, que permite instalar componentes múltiples (split APK), el método estándar del ecosistema Google Play. ClayRat abusa de la instalación por sesión para mimetizar el comportamiento de apps legítimas y reducir señales de riesgo para el usuario.
Restricted Setting y su elusión
Desde Android 13, la protección Restricted Setting limita el acceso a permisos sensibles (por ejemplo, acceso a notificaciones) en apps instaladas fuera de la tienda. Investigaciones previas de ThreatFabric (caso SecuriDropper, 2023) mostraron que, bajo instalación por sesión, estos controles pueden aplicarse de forma diferente, lo que minimiza fricciones visibles y facilita la persistencia. ClayRat aprovecha esta asimetría para afianzarse con menos alertas al usuario.
Capacidades del malware: toma de control de SMS y C2 cifrado
Tras la infección, ClayRat suele autodesignarse app de SMS por defecto, obteniendo prioridad sobre todos los mensajes entrantes para su interceptación y manipulación. El malware exfiltra la libreta de contactos y lanza campañas de SMS masivos desde el propio dispositivo, extendiendo el ataque en la red de confianza de la víctima.
La comunicación con la infraestructura de command and control (C2) se realiza por un canal cifrado; en variantes recientes, el tráfico se protege con AES‑GCM. Los servidores pueden emitir hasta 12 tipos de órdenes, lo que aporta flexibilidad para el robo de datos y el control remoto del terminal.
Detección y respuesta del ecosistema
Zimperium compartió con Google un conjunto completo de indicadores de compromiso (IoC) asociados a ClayRat. Según el estado actual, Play Protect detecta y bloquea tanto variantes conocidas como nuevas. Sin embargo, el riesgo persiste para quienes descargan APK desde fuentes externas y siguen instrucciones de canales no verificados en Telegram.
Medidas de mitigación para usuarios y equipos de seguridad
Evite instalar APK desde enlaces en mensajes o sitios cuyo dominio difiera en un solo carácter del oficial. Verifique la URL y el certificado antes de descargar. Mantenga desactivada la opción de “Fuentes desconocidas” y habilítela solo cuando exista una necesidad legítima y verificada.
Preste atención a señales de abuso: intentos de fijarse como app de SMS por defecto, solicitudes de acceso a notificaciones o a servicios de accesibilidad sin justificación funcional. Actualice el sistema y las apps con regularidad, mantenga Play Protect activo y complemente con soluciones MTD/antimalware capaces de inspeccionar tráfico y detectar anomalías.
ClayRat evidencia cómo la combinación de ingeniería social convincente, instalación por sesión y control agresivo de SMS permite eludir barreras y escalar rápidamente. La higiene digital, la formación para reconocer el phishing y la respuesta ágil a nuevos IoC son claves. Si detecta un APK o canal de distribución sospechoso, repórtelo a Google y a su proveedor de seguridad para acelerar la contención.
