I ricercatori di Zimperium hanno individuato un nuovo spyware per Android. Il suo nome è ClayRat e viene distribuito attraverso app che sembrano quelle legittime di WhatsApp, TikTok e YouTube. Al momento, le vittime si trovano quasi esclusivamente in Russia, ma il malware potrebbe raggiungere altri paesi nelle prossime settimane.
Sembra WhatsApp, ma è uno spyware
Le app fasulle vengono pubblicizzate tramite canali Telegram e siti di phishing con domini simili a quelli legittimi. In entrambi i casi, l’ignara vittima deve scaricare il file APK da installare sul dispositivo Android. Durante la procedura viene mostrata anche una guida passo-passo con le istruzioni per autorizzare l’installazione da fonti sconosciute. Le app riescono ad aggirare le protezioni introdotte a partire da Android 13.
Il malware sfrutta successivamente i permessi ottenuti in modo ingannevole per inviare a tutti i contatti nella rubrica un SMS con il link al canale Telegram o al sito di phishing. I destinatari si fidano del mittente e scaricano lo stesso file APK. Ciò permette di diffondere l’infezione.
ClayRat offre le tradizionali funzionalità di spyware, quindi può accedere a SMS, messaggi, cronologia delle chiamate ed elenco delle app installate. Può inoltre intercettare le notifiche, effettuare chiamate e scattare foto con la fotocamera frontale. Tutti i dati vengono quindi inviati al server C2 (command and control) attraverso un canale di comunicazione cifrato.
Gli esperti di Zimperium hanno rilevato oltre 600 campioni del malware in tre mesi, quindi è già molto diffuso. Il suggerimento è ovviamente quello di non installare mai app da fonti sconosciute. Google ha aggiornato Play Protect, quindi le app vengono bloccate.
Ti potrebbe interessare
13 ott 2025