ClayRat-Spyware: Falsche WhatsApp und TikTok infizieren Android-Handys

Eine ausgeklügelte Spyware-Kampagne täuscht Nutzer mit gefälschten Versionen beliebter Apps wie WhatsApp, TikTok und YouTube. Die als „ClayRat“ bezeichnete Malware wird über Telegram-Kanäle und betrügerische Websites verbreitet und kann umfassend persönliche Daten stehlen.

Sicherheitsforscher von Zimperium warnen vor der sich schnell ausbreitenden Bedrohung. Die Angreifer nutzen eine raffiniete Kombination aus Social Engineering und technischer Täuschung. Gefälschte Websites imitieren dabei legitime App-Stores und Services, um Vertrauen zu schaffen.

Besonders perfide: Die Betrüger füllen ihre Fake-Seiten und Telegram-Kanäle mit gefälschten positiven Bewertungen und manipulierten Download-Zahlen. Hat ein Nutzer die infizierte App erst einmal heruntergeladen, kann ClayRat SMS-Nachrichten, Anrufprotokolle, Kontaktlisten und Benachrichtigungen abgreifen.

Die Spyware verwandelt das kompromittierte Gerät in ein mächtiges Überwachungsinstrument. Sie kann heimlich Fotos mit der Frontkamera aufnehmen und Fernbefehle ausführen.

Neue Bedrohungen imitieren Signal und andere Messenger

ClayRat ist Teil eines größeren Trends: Cyberkriminelle setzen verstärkt auf das Vertrauen der Nutzer in bekannte Marken. Die Sicherheitsfirma ESET entdeckte zeitgleich zwei weitere Spyware-Kampagnen namens „ProSpy“ und „ToSpy“.

Diese imitieren sichere Messenger-Apps wie Signal oder den eingestellten ToTok-Messenger. Seit mindestens Mitte 2022 aktiv, zielen sie hauptsächlich auf Nutzer in den Vereinigten Arabischen Emiraten ab.

Die Masche: Fake-Websites bieten angebliche „Pro“-Versionen oder Add-ons der Apps an. Nach der Installation laufen die Apps im Hintergrund und sammeln Kontakte, Chat-Backups und Bilder. Besonders hinterhältig: Das Malware-Icon verwandelt sich nach der Installation in das Symbol der Google Play-Dienste.

Banking-Trojaner versteckt sich in Streaming-App

Forscher von Cleafy identifizierten zusätzlich den Klopatra-Banking-Trojaner. Dieser versteckt sich in einer gefälschten Streaming- und VPN-App namens „Mobdro Pro IP TV + VPN“.

Die Malware gewährt Angreifern vollständige Fernkontrolle über infizierte Geräte. Dadurch können sie Banking-Zugangsdaten stehlen und betrügerische Transaktionen durchführen.

Erfolgsrezept der Kriminellen: Die meisten Kampagnen setzen darauf, dass Nutzer Apps aus inoffiziellen Quellen installieren – und dabei die Sicherheitsprüfungen des Google Play Store umgehen.
Anzeige: Apropos mobile Schadsoftware: Viele Android-Nutzer übersehen 5 einfache Schutzmaßnahmen, die WhatsApp, Online-Banking und Fotos deutlich sicherer machen. Ein kostenloser Ratgeber erklärt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps absichern – inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Updates. Tipp 3 schließt eine häufig unterschätzte Lücke. Jetzt gratis „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ sichern

Google und Samsung reagieren mit Oktober-Updates

Als Reaktion auf die anhaltenden Bedrohungen haben Google und Samsung ihre Oktober-Updates 2025 veröffentlicht. Googles Pixel Update Bulletin listet zahlreiche Sicherheitsfixes für unterstützte Geräte auf.

Samsung adressiert mit seinem monatlichen Patch 14 Android-Systemschwachstellen mit hoher Prioritätsstufe sowie zwölf Samsung-spezifische Sicherheitslücken.

Experten-Empfehlung: Nutzer sollten Updates sofort installieren, sobald sie verfügbar sind. Den aktuellen Patch-Stand können Android-Nutzer in den Einstellungen unter „Über das Telefon“ oder „Software-Update“ prüfen.

Auffällig: Das Oktober-Update für Google-Geräte enthält keine Aktualisierungen für die Pixel 6-Serie.

Mobile Angriffe steigen dramatisch

Die jüngsten Spyware-Entdeckungen sind Teil einer alarmierenden Entwicklung. Laut einer Kaspersky-Analyse stiegen Angriffe auf mobile Geräte 2023 um 52 Prozent auf fast 33,8 Millionen Vorfälle.

Adware dominiert: Über 40 Prozent aller Erkennungen entfallen auf Werbe-Schadsoftware. Cyberkriminelle werden immer geschickter darin, schädliche Apps in offizielle Stores einzuschleusen – getarnt als Fake-Investment-Apps oder manipulierte Versionen von WhatsApp und Telegram.

Die ClayRat-Spyware nutzt Androids Standard-SMS-Handler-Rolle aus, um umfassenden Zugriff auf Nachrichten zu erhalten, ohne zur Laufzeit nach Einzelgenehmigungen fragen zu müssen. Diese Technik soll Nutzer-Verdacht vermeiden.

Warnung vor „Malware-as-a-Service“

Sicherheitsexperten erwarten eine weitere Verschärfung der Bedrohungslage. Das „Malware-as-a-Service“-Modell ermöglicht es auch weniger technisch versierten Kriminellen, Spyware-Kits aus Untergrundforen zu nutzen.

Vielschichtige Verteidigung nötig: Verbraucher und Unternehmen sollten Apps nur aus offiziellen Stores herunterladen, App-Berechtigungen sorgfältig prüfen und Updates umgehend installieren.
Anzeige: Für alle, die nach diesem Bericht ihr Android sofort härten möchten: Der kostenlose Leitfaden „Die 5 wichtigsten Schutzmaßnahmen“ zeigt, wie Sie Berechtigungen richtig setzen, sichere Quellen nutzen und Update-Lücken schließen – leicht verständlich für den Alltag. So schützen Sie WhatsApp, Online-Shopping, PayPal und Ihr Online-Banking effektiv vor Datendieben. Kostenlosen Sicherheits‑Guide per E‑Mail anfordern

Da Smartphones zunehmend Finanzen und persönliche Kommunikation verwalten, war die Bedeutung robuster mobiler Sicherheit noch nie so hoch. Der Kampf gegen Spyware bleibt ein kontinuierliches Wettrüsten zwischen Entwicklern und Angreifern.