Una nueva amenaza en forma de 'malware' espía ha puesto en riesgo los datos de los usuarios de Android, que lo instalan en sus teléfonos móviles creyendo que se trata de aplicaciones populares como WhatsApp y TikTok.
ClayRat es un 'spyware' diseñado para Android que se distribuye a través de campañas en Telegram y de páginas web cuidadosamente creadas que suplantan la imagen de otras legítimas, como han identificado los analistas de Zimperium.
Estos sitios promocionan aplicaciones populares, como WhatsApp, Google Fotos, TikTok y YouTube, e incluso cuentan con comentarios positivos y cifras de descargas elevadas para reforzar la idea de legitimidad.
La aplicación que descargan los usuarios es en realidad un 'dropper', un 'software' ligero que contiene el 'malware' oculto y encriptado y lo libera una vez es instalado en el 'smartphone' de la víctima. De esta forma, logran evitar los controles de Android.
El 'spyware' ClayRat puede acceder a los registros de llamada, a las notificaciones, a las fotografías hechas con la cámara frontal -la que habitualmente apunta a las víctimas cuando usan el teléfono-. A ello se suma la capacidad de exfiltrar los mensajes SMS y de realizar llamadas.
Desde Zimperium destacan la capacidad de escribir y enviar mensajes y de acceder a la agenda de contactos para desplegar una campaña de ingeniería social y continuar con la distribución del 'malware', provechando que el destinatario confiará en el emisor.
"Al convertir cada dispositivo infectado en un nodo de distribución automatizado, este comportamiento permite una infección rápida y de amplio alcance sin infraestructura adicional", explican en un comunicado compartido en su blog oficial.
