ClayRat, el spyware que se hace pasar por WhatsApp y TikTok para robar datos en Android

  • ClayRat suplanta apps como WhatsApp y TikTok para infectar móviles Android mediante APKs.
  • Se distribuye a través de sitios falsos que imitan la Play Store y canales de Telegram.
  • Usa instalación basada en sesión para evadir defensas de Android 13+ y se fija como app de SMS.
  • Roba SMS, llamadas, fotos y se propaga a contactos; claves para evitar la infección.
Alberto Navarro

4 minutos

Spyware ClayRat en Android

Investigadores de la firma de seguridad móvil Zimperium han observado una campaña en expansión con más de 600 muestras detectadas y 50 droppers implicados, distribuidos mediante canales de Telegram y páginas fraudulentas que imitan portales legítimos. Su alcance y el uso intensivo de ingeniería social la convierten en una amenaza especialmente activa en el ecosistema Android, similar a casos como Pegasus.

Así se distribuye: suplantación de apps y webs falsas

Malware que suplanta apps en Android

Los operadores de la campaña levantan portales que imitan la Google Play Store y páginas oficiales de apps como WhatsApp, TikTok, YouTube o Google Fotos. Estos sitios muestran reseñas falsas, contadores de descargas inflados y comentarios automatizados para generar confianza.

Desde esas páginas, las víctimas son invitadas a descargar APKs maliciosos que se presentan como actualizaciones o versiones premium. En muchos casos, la descarga real se alberga en canales de Telegram controlados por los atacantes, donde se facilitan instrucciones para completar la instalación.

Para aumentar la tasa de éxito, los estafadores instruyen a los usuarios a activar la instalación desde orígenes desconocidos y seguir pasos que simulan los de una app legítima. Este guion reduce las sospechas y ayuda a que la infección pase desapercibida.

La actividad se ha observado de forma notable en territorio ruso, aunque no hay garantías de que el radio de acción se mantenga acotado en el tiempo. La combinación de suplantación visual y mensajería instantánea facilita su salto a otros mercados.

Un proceso de instalación que esquiva Android 13 y posteriores

Uno de los rasgos técnicos más llamativos es el uso de un mecanismo de instalación basado en sesión, que replica el flujo de instalación de apps reales para minimizar alertas. Así logra eludir parte de las restricciones introducidas en Android 13 y versiones superiores.

Malware que suplanta apps en Android

Varias muestras funcionan como droppers: muestran una pantalla falsa de actualización de la Play Store mientras, en segundo plano, descargan y ejecutan la carga maliciosa cifrada. La experiencia parece legítima, pero el resultado es la entrada del spyware en el sistema.

Tras completarse la instalación, ClayRat se oculta entre procesos y establece comunicación con su servidor de mando y control (C2) usando cifrado AES-GCM y envío de datos por fragmentos. Esta táctica dificulta la detección por soluciones de seguridad convencionales.

Qué puede hacer ClayRat en tu móvil comprometido

El malware solicita permisos amplios y, cuando los obtiene, intenta fijarse como aplicación predeterminada de SMS. Con ello puede leer, interceptar, modificar y enviar mensajes, además de interferir en notificaciones que llegan a apps de mensajería.

Entre sus capacidades se incluyen la captura de fotos con la cámara frontal sin intervención del usuario, el acceso a registros de llamadas, la enumeración de apps instaladas, la recolección de datos del dispositivo y de su red, e incluso la ejecución de llamadas y el envío de SMS.

  • Listado de aplicaciones instaladas (get_apps_list).
  • Historial de llamadas (get_calls).
  • Captura de imágenes con la cámara frontal (get_camera).
  • Lectura y envío masivo de SMS (get_sms_list / messms).
  • Realizar llamadas y enviar mensajes desde el terminal (send_sms / make_call).
  • Recopilación de datos del dispositivo y la red (get_device_info).
  • Encapsulado de tráfico HTTP/HTTPS en túneles WebSocket para ocultar conexiones (get_proxy_data).

Además, ClayRat aprovecha al usuario como vehículo de propagación: envía automáticamente enlaces de descarga a todos los contactos, multiplicando las infecciones con una intervención mínima por parte de los atacantes.

Medidas de mitigación y respuesta

La primera barrera es el sentido común: descarga e instala apps solo desde la Google Play Store, evita versiones modificadas o supuestamente premium y desconfía de cualquier actualización ofrecida fuera de la tienda oficial.

En el día a día, revisa con frecuencia los permisos concedidos y comprueba qué app está configurada como cliente predeterminado de SMS. Si detectas algo sospechoso, revoca permisos, desinstala la app y analiza el dispositivo con Play Protect u otra solución de seguridad reputada.

En entornos corporativos, conviene aplicar políticas MDM/EMM para bloquear el sideloading, exigir integridad de dispositivos y monitorizar el comportamiento de apps, además de formar a la plantilla en detección de suplantaciones.

Estado de la investigación y alcance

Zimperium ha catalogado esta familia por el nombre del servidor C2 y confirma una actividad sostenida con múltiples variantes, que recuerda a amenazas como KOSPY. Medios especializados han alertado de su evolución y del uso intensivo de suplantación visual y canales de Telegram como vector de entrada.

El panorama que dibuja ClayRat es claro: un spyware que se hace pasar por WhatsApp y TikTok, que explota la instalación fuera de la tienda, reduce las señales de alarma y roba datos con gran sigilo, a la vez que se propaga entre contactos. Mantener las descargas en canales oficiales, vigilar permisos y no ceder privilegios críticos a apps desconocidas sigue siendo la estrategia más efectiva para mantenerse a salvo.

hacer robando
Artículo relacionado:
Cómo saber si te espían el móvil: señales, métodos, análisis y protección total