Android-Spyware „ClayRat: 600 Varianten in 90 Tagen entdeckt

Eine hochentwickelte Android-Spyware namens „ClayRat“ verbreitet sich rasant und täuscht Nutzer mit gefälschten WhatsApp-, TikTok- und YouTube-Apps. Die Schadsoftware verwandelt infizierte Geräte in selbstverbreitende Verteilungszentren – ein beunruhigender Evolutionssprung bei mobilen Bedrohungen.

Das Sicherheitsunternehmen Zimperium schlug diese Woche Alarm: Das zLabs-Team identifizierte in nur 90 Tagen über 600 verschiedene Spyware-Varianten und 50 unterschiedliche „Dropper“-Apps. Diese rasante Entwicklung zeigt, wie entschlossen die Angreifer sind, den Sicherheitsvorkehrungen einen Schritt voraus zu bleiben.

Obwohl die Kampagne derzeit hauptsächlich russische Nutzer ins Visier nimmt, warnen Experten vor einer möglichen weltweiten Ausweitung. Google hat bereits reagiert und seinen Play Protect-Dienst gegen bekannte ClayRat-Versionen aktualisiert.
Anzeige: Apropos Android-Sicherheit: Verlassen Sie sich nicht nur auf Play Protect. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen, mit denen Sie WhatsApp, Online-Banking und Ihre Daten vor Schadsoftware und Datendieben absichern – Schritt für Schritt und ohne teure Zusatz-Apps. So umgehen Sie Sideloading-Fallen und erkennen Fake-Apps schneller. Jetzt kostenloses Android-Sicherheitspaket sichern

Die ClayRat-Betreiber setzen auf ausgeklügelte Social-Engineering-Methoden. Sie locken Opfer über täuschend echte Phishing-Websites, die Google Photos oder Premium-YouTube-Versionen imitieren. Von dort werden die Nutzer zu Telegram-Kanälen weitergeleitet, wo die schädlichen Android-Apps (APKs) bereitliegen.

Besonders raffiniert: Die Angreifer füllen diese Kanäle mit gefälschten positiven Bewertungen und überhöhten Download-Zahlen. Das verleiht der Masche einen trügerischen Vertrauensanschein.

Einige ClayRat-Varianten fungieren als sogenannte Dropper und tarnen sich als harmloses Play Store-Update. Sie nutzen eine sitzungsbasierte Installationsmethode, die legitime Systembildschirme nachahmt. So umgehen sie moderne Android-Sicherheitsfeatures – besonders die Beschränkungen beim Sideloading von Apps, die seit Android 13 verschärft wurden.

Umfassendes Datensammeln und Selbstverbreitung

Hat ClayRat erst einmal ein Gerät infiziert, entfaltet es sein volles Spionagepotenzial. Die Malware stiehlt SMS-Nachrichten, Anrufprotokolle, Kontaktlisten und Systembenachrichtigungen. Darüber hinaus kann sie heimlich Fotos mit der Frontkamera aufnehmen, Telefonate aufzeichnen und eine Liste aller installierten Apps an ihre Command-and-Control-Server senden.

Besonders gefährlich wird ClayRat durch den Missbrauch der Standard-SMS-Handler-Rolle von Android. Gewährt der Nutzer diese mächtige Berechtigung, kann die Spyware unbemerkt Textnachrichten lesen, senden und abfangen.

Diese Fähigkeit nutzt die Malware zur Selbstverbreitung: Sie sendet automatisch schädliche Links an alle Kontakte im Adressbuch des Opfers – oft mit geschickt formulierten Nachrichten. So wird jedes kompromittierte Gerät zum Verbreitungsknoten, wodurch sich die Infektion exponentiell ausbreitet.
Anzeige: Wenn Malware SMS-Rechte missbraucht, entscheidet Ihre Gerätekonfiguration. Ein Gratis-Ratgeber erklärt, welche Berechtigungen Sie nie leichtfertig vergeben sollten, wie Sie Apps sicher prüfen und automatische Sicherheitsfunktionen aktivieren. Mit Checklisten für geprüfte Apps und wichtige Updates – leicht verständlich für den Alltag. Kostenlosen Ratgeber „5 Schutzmaßnahmen für Ihr Android-Smartphone“ anfordern

Evolutionssprung bei mobilen Bedrohungen

ClayRat markiert einen beunruhigenden Trend zu ausgefeilteren mobilen Schädlingen. „Die Angreifer entwickeln sich schneller denn je und kombinieren Social Engineering, Selbstverbreitung und Systemmissbrauch für maximale Reichweite“, erklärt Shridhar Mittal, CEO von Zimperium.

Die rasante Iteration mit Hunderten von Varianten in kurzer Zeit zeigt: Die Cyberkriminellen sind entschlossen, traditionelle signaturbasierte Antivirenlösungen zu umgehen. Das macht ClayRat zu einer besonders hartnäckigen Bedrohung.

Schutzmaßnahmen und Ausblick

Google versichert, dass Android-Nutzer automatisch über Play Protect vor bekannten ClayRat-Versionen geschützt sind. Doch die kontinuierliche Weiterentwicklung der Spyware bedeutet, dass neue Varianten weiterhin eine Gefahr darstellen können.

Für Nutzer bleibt Wachsamkeit der beste Schutz. Sicherheitsexperten raten dringend davon ab, APK-Dateien von Websites oder Messaging-Apps herunterzuladen – selbst wenn sie scheinbar von vertrauenswürdigen Kontakten stammen. Apps sollten ausschließlich über den Google Play Store bezogen werden.

Wer Apps installiert, sollte skeptisch bleiben bei Anwendungen, die Premium-Features kostenlos versprechen. Besondere Vorsicht ist bei übermäßigen Berechtigungsanfragen geboten – insbesondere bei der SMS-Handler-Rolle. Angesichts sich ständig verfeinernder Angriffsmethoden ist digitale Hygiene wichtiger denn je.