ClayRat-Spyware: Android-Nutzer im Visier neuer Cyberattacken

Eine hochentwickelte Android-Spionagesoftware namens „ClayRat“ breitet sich rasant aus und tarnt sich als beliebte Apps wie WhatsApp. Die Schadsoftware stiehlt persönliche Daten und verwandelt infizierte Geräte in automatische Verteilerzentren für weitere Angriffe.

Forscher des Sicherheitsunternehmens Zimperium haben diese Woche die ausgeklügelte Kampagne aufgedeckt, die vor allem Nutzer in Russland ins Visier nimmt. Über gefälschte Websites und Telegram-Kanäle locken die Angreifer ihre Opfer dazu, die Schadsoftware zu installieren. Die Bedrohung wächst besorgniserregend schnell: Allein in den letzten drei Monaten identifizierten die Experten über 600 einzigartige Malware-Varianten und 50 Dropper-Anwendungen.

Perfide Täuschung: Wie ClayRat Nutzer in die Falle lockt

Die Cyberkriminellen gehen dabei äußerst raffiniert vor. Sie erstellen täuschend echte Phishing-Websites, die legitime App-Stores oder Dienste nachahmen. Dort versprechen sie Premium-Versionen beliebter Apps wie WhatsApp, TikTok, YouTube oder Google Fotos.

Wer auf diese Seiten hereinfällt, wird zu kontrollierten Telegram-Kanälen weitergeleitet. Dort hosten die Angreifer die schädlichen Android-Installationspakete (APKs). Um Vertrauen zu schaffen, fälschen sie Download-Zahlen und erfundene Nutzerbewertungen.

Besonders heimtückisch: Manche Versionen der Malware zeigen dem Nutzer einen gefälschten Google Play Store-Update-Bildschirm, während im Hintergrund eine verschlüsselte, gefährliche Nutzlast installiert wird. Diese Methode umgeht die Sicherheitsbeschränkungen neuerer Android-Versionen, die das Installieren unbekannter Apps erschweren sollen.

Anzeige: Übrigens: Wer sich vor gefälschten App-Stores und manipulierten APKs schützen möchte, kann sein Android in wenigen Minuten deutlich absichern. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking & Co. ohne teure Zusatz‑Apps besser schützen. Mit Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Update‑Einstellungen. Jetzt das kostenlose Sicherheitspaket sichern

Totalüberwachung: Was ClayRat alles ausspioniert

Ist ClayRat erst einmal auf dem Gerät, beginnt die umfassende Datensammlung. Ein besonders perfider Trick: Die Malware fordert an, Standard-SMS-App zu werden. Dadurch erhält sie tiefgreifenden Zugang zu Nachrichten-Funktionen, oft ohne die üblichen Berechtigungs-Abfragen auszulösen.

Die Spionage-Fähigkeiten sind erschreckend umfangreich. ClayRat kann heimlich Anruflisten, SMS-Inhalte und App-Benachrichtigungen abgreifen. Zusätzlich sammelt die Software Geräteinformationen wie Modell und Betriebssystem-Version und übermittelt eine komplette Liste aller installierten Apps an die Kommando-Server der Angreifer.

Am invasivsten ist wohl die Kamera-Funktion: Die Malware kann die Frontkamera ferngesteuert aktivieren und Fotos vom Nutzer und seiner Umgebung aufnehmen. Die Angreifer erhalten so einen direkten Einblick in das Privat- und Berufsleben ihrer Opfer.

Selbstverteilung: Jedes Gerät wird zur Angriffszentrale

Die wohl gefährlichste Eigenschaft von ClayRat ist seine Fähigkeit zur automatischen Verbreitung. Die Malware verwandelt jedes infizierte Gerät in einen Knotenpunkt eines automatisierten Verteilungsnetzes.

Dafür greift sie auf das komplette Kontaktverzeichnis zu und verschickt programmatisch SMS mit schädlichen Links an alle gespeicherten Personen. Diese wurmartige Funktionalität ermöglicht eine exponentielle Ausbreitung ohne weiteres Zutun der Angreifer.

Das Perfide daran: Durch das implizite Vertrauen zwischen Kontakten steigt die Wahrscheinlichkeit drastisch, dass Empfänger auf die schädlichen Links klicken. So können die Cyberkriminellen ihre Reichweite rasant ausweiten und immer mehr Opfer infizieren.

Wachsende Bedrohung: Mobile Sicherheit unter Druck

ClayRat zeigt einen besorgniserregenden Trend in der mobilen Bedrohungslandschaft 2025 auf. Immer häufiger tarnen Angreifer ihre Schadsoftware als vertrauenswürdige und populäre Anwendungen. Messaging-Plattformen wie Telegram und WhatsApp dienen dabei sowohl als Köder als auch als Verteilungskanal.

Sicherheitsexperten betonen: Indem Cyberkriminellen bekannte Marken nachahmen, senken sie die Wachsamkeit potenzieller Opfer. Diese umgehen dann eher die Standard-Sicherheitswarnungen ihrer Geräte.

Google Play Protect erkennt mittlerweile bekannte ClayRat-Versionen automatisch und schützt Android-Nutzer davor. Doch die kontinuierliche Weiterentwicklung der Malware mit neuen Verschleierungsebenen stellt Sicherheitsplattformen vor anhaltende Herausforderungen.

Anzeige: Für alle, die nach diesem Bericht sofort handeln wollen: Diese 5 praxiserprobten Maßnahmen schließen die häufigsten Einfallstore auf Android‑Smartphones. Leicht nachvollziehbar, auch für Einsteiger – ohne zusätzliche Kosten. Gratis-Ratgeber „5 Schutzmaßnahmen für Android“ anfordern

Schutz vor der Bedrohung: Grundregeln für sichere Smartphone-Nutzung

Die rasante Entwicklung von ClayRat – belegt durch Hunderte Samples in kurzer Zeit – deutet auf eine gut finanzierte und aktive Kampagne hin. Experten erwarten, dass die Malware-Betreiber ihre Techniken weiter verfeinern und ihre Angriffe über Russland hinaus ausweiten werden.

Der beste Schutz bleibt die Vorsicht der Nutzer selbst. Apps sollten ausschließlich aus offiziellen App-Stores heruntergeladen werden. Unaufgeforderte Nachrichten mit Links verdienen höchste Skepsis – selbst wenn sie scheinbar von bekannten Kontakten stammen.

Besonders wichtig: Berechtigungen neuer Apps kritisch prüfen. Wenn eine Foto- oder Messaging-App zur Standard-SMS-Anwendung werden möchte, sollten alle Alarmglocken schrillen. Solange Angreifer ihre Methoden weiterentwickeln, bleibt die Wachsamkeit der Nutzer die wichtigste Verteidigungslinie.