Los ciberataques móviles están alcanzando una nueva fase de sofisticación, y el más reciente ejemplo llega con ClayRat, un nuevo spyware para Android que se disfraza de aplicaciones tan conocidas como WhatsApp, TikTok, YouTube o Google Photos.
Su objetivo: infiltrar los dispositivos de los usuarios, robar datos personales y usarlos para seguir propagándose entre sus contactos.

Investigadores de la empresa de seguridad móvil Zimperium han identificado una campaña en crecimiento que ya suma más de 600 muestras de malware y 50 droppers diferentes, distribuidos a través de canales de Telegram y sitios web falsos que imitan portales legítimos.
El alcance de la operación y su nivel de ingeniería social hacen de ClayRat una de las campañas móviles más activas y peligrosas de 2025.

Un engaño diseñado para parecer legítimo

La campaña, bautizada como ClayRat por el nombre de su servidor de comando y control (C2), combina phishing avanzado y suplantación de identidad de apps. Los atacantes crean portales falsos que reproducen el aspecto visual de la Google Play Store o de las páginas oficiales de las aplicaciones imitadas.
Allí ofrecen la descarga de los archivos APK maliciosos, acompañados de instrucciones para “instalar manualmente” las apps y evitar las alertas de seguridad de Android.

Para dar una apariencia real, estos sitios muestran reseñas falsas, contadores de descargas inflados y comentarios positivos generados automáticamente, simulando el entorno habitual de la Play Store.
El resultado es un escenario de confianza en el que las víctimas creen estar instalando una versión legítima de WhatsApp o TikTok, cuando en realidad están autorizando la instalación del spyware.

Un método de instalación que esquiva las defensas de Android

Una de las características más destacadas de ClayRat es su uso de un método de instalación “basado en sesión”, diseñado para evadir las restricciones de Android 13 y posteriores.
Este procedimiento, que se asemeja al flujo de instalación de aplicaciones reales, reduce las alertas de seguridad visibles y hace que los usuarios perciban menos riesgo al aprobar los permisos.

Según Zimperium, algunas muestras actúan como droppers —aplicaciones que instalan el malware principal— y muestran una pantalla falsa de actualización de la Play Store, mientras en segundo plano descargan y ejecutan la carga útil cifrada.
Una vez instalada, ClayRat se oculta entre los procesos del sistema, esperando el momento adecuado para conectarse a su servidor remoto.

“Este método de instalación reduce el riesgo percibido y aumenta la probabilidad de que una visita al sitio web termine en infección”, señalan los investigadores de Zimperium.

Funcionamiento de ClayRat una vez infectado el dispositivo

Una vez dentro del dispositivo, ClayRat solicita una amplia gama de permisos, entre ellos acceso a los SMS, contactos, cámara y micrófono. En cuanto los obtiene, asume el control del módulo de mensajería del sistema, convirtiéndose en la aplicación predeterminada de SMS. Esto le permite interceptar y modificar mensajes antes de que lleguen a otras aplicaciones, como WhatsApp o Telegram.

El spyware puede capturar mensajes entrantes, notificaciones, llamadas y fotos, e incluso iniciar llamadas o enviar SMS sin intervención del usuario.
Entre los 12 comandos principales que recibe desde su servidor C2 se incluyen:

  • get_apps_list → envía la lista de apps instaladas.

  • get_calls → recopila los registros de llamadas.

  • get_camera → toma una foto con la cámara frontal y la envía al servidor.

  • get_sms_list / messms → roba o envía SMS masivos.

  • send_sms / make_call → ejecuta llamadas o mensajes desde el dispositivo.

  • get_device_info → recopila datos del dispositivo y su red.

  • get_proxy_data → convierte conexiones HTTP/HTTPS en túneles WebSocket para ocultar el tráfico.

El malware utiliza cifrado AES-GCM para comunicarse con su infraestructura y envía datos de manera fragmentada para dificultar su detección.
Además, emplea las propias víctimas como plataforma de propagación, reenviando mensajes con enlaces de descarga maliciosos a toda su lista de contactos, ampliando así el número de infecciones sin intervención directa de los operadores.

MLuz Domínguez
Periodista especializada en ciberseguridad y tecnología. Mi enfoque se centra en analizar mundo de las aplicaciones y la seguridad especialmente en redes sociales. Con un interés constante en informar sobre avances, riesgos y sin olvidar la importancia de la prevención, busco compartir información precisa y comprensible para el usuario.

Artículos relacionadosMás del autor

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre