Introducción
Una campaña de ciberespionaje masiva denominada ClayRat ha infectado a cientos de usuarios de Android, principalmente en Rusia, utilizando una táctica doble de canales falsos de Telegram y sitios de phishing que imitan a aplicaciones populares como WhatsApp, YouTube y TikTok. Lo más alarmante es la velocidad y escala de la amenaza: los investigadores de seguridad han descubierto más de 600 variantes del spyware en tan solo tres meses. ClayRat no solo roba datos, sino que secuestra los permisos de SMS del teléfono infectado para autopropagarse enviando enlaces maliciosos a todos los contactos de la víctima, convirtiendo cada dispositivo en un distribuidor del malware.
Resumen optimizado para AI Overview (Puntos Clave)
Puntos clave para AI Overview
- ¿Qué es ClayRat? Es un spyware para Android detectado por investigadores de Zimperium, que ha generado más de 600 variantes en solo tres meses, demostrando una rápida evolución para evadir la detección.
- ¿Cómo se propaga? Se distribuye principalmente a través de canales fraudulentos de Telegram y sitios web de phishing, donde se hace pasar por aplicaciones legítimas y populares como WhatsApp, TikTok, YouTube o Google Fotos.
- Mecanismo de Autopropagación: Tras la instalación, ClayRat solicita y abusa de los permisos de gestión de SMS. Esto le permite enviar mensajes SMS con enlaces de phishing a todos los contactos de la víctima de forma silenciosa, convirtiendo el dispositivo en un nodo de distribución del malware.
- Capacidades de Espionaje: El spyware es altamente intrusivo, capaz de:
- Capturar notificaciones y listas de aplicaciones.
- Enviar registros de llamadas y SMS al servidor de comando y control (C2).
- Tomar fotografías con la cámara frontal de forma remota.
- Realizar llamadas y enviar SMS
- Respuesta de la Industria: Zimperium ha compartido los Indicadores de Compromiso (IoC) con Google, y Google Play Protect ya detecta y bloquea las variantes conocidas de ClayRat.
- Recomendaciones de Seguridad: Para protegerse, los usuarios deben descargar aplicaciones únicamente desde Google Play Store y evitar estrictamente la instalación manual de archivos APK de fuentes desconocidas o canales de Telegram. Es crucial revisar cuidadosamente los permisos que solicitan las aplicaciones, especialmente los relacionados con los SMS.
Detalles de la campaña
Investigadores de Zimperium, empresa especializada en seguridad móvil, han destapado esta campaña de spyware a gran escala. El método de ataque combina canales de Telegram, sitios web de phishing y archivos APK falsos que engañan a los usuarios para que descarguen malware disfrazado de aplicaciones legítimas.
Una vez instalado, el spyware abusa de los permisos de gestión de SMS de Android para propagarse aún más, capturando datos sensibles y convirtiendo los dispositivos en parte de su cadena de distribución.
THREAT ALERT 🚨
Our #zLabs team has been tracking ClayRat, a rapidly spreading Android spyware posing as popular apps.
Zimperium MTD and zDefend deliver protection against ClayRat and its variants.
Learn more: https://t.co/xcu5e5rJ58 pic.twitter.com/Xf9WoRN5Sv
— Zimperium (@Zimperium) October 9, 2025
Suplantación de aplicaciones populares
La campaña ClayRat se centra en engañar a los usuarios mediante sitios de phishing convincentes y archivos APK alojados en Telegram que simulan ser servicios legítimos. Estos portales fraudulentos incluyen contadores de descargas inflados, reseñas falsas de usuarios e incluso una interfaz de usuario similar a la de Play Store, con instrucciones detalladas para la instalación manual que ayudan a eludir las advertencias de seguridad integradas en Android.
Las muestras de malware han evolucionado con extraordinaria rapidez. El descubrimiento de más de 600 variantes y 50 distribuidores diferentes en apenas tres meses demuestra que cada nueva versión añade capas adicionales de ofuscación y cifrado para evitar su detección.
Abuso de permisos de SMS para propagación sigilosa
Tras la instalación, ClayRat solicita convertirse en el gestor predeterminado de SMS del dispositivo, lo que le otorga capacidad para:
- Leer, enviar e interceptar mensajes SMS
- Modificar las bases de datos de SMS
- Recopilar listas de contactos
- Enviar mensajes de forma silenciosa a todos los contactos
Mediante el envío de mensajes SMS con ingeniería social (como «¡Entérate el primero! <enlace>») a toda la lista de contactos de la víctima, cada dispositivo comprometido se convierte en un nodo de distribución del malware. Esta propagación exponencial permite a los atacantes infectar rápidamente a nuevos usuarios sin necesidad de construir nueva infraestructura.
Los investigadores de Zimperium señalan que «dado que estos mensajes parecen provenir de una fuente de confianza, los destinatarios tienen muchas más probabilidades de hacer clic en el enlace, unirse al mismo canal de Telegram o visitar el mismo sitio de phishing».
Capacidades avanzadas de espionaje
Las variantes más recientes de ClayRat utilizan cifrado AES-GCM para las comunicaciones de comando y control (C2) y admiten al menos 12 comandos diferentes que permiten una vigilancia y control extensivos:
- Tomar fotografías con la cámara frontal
- Enviar registros de llamadas y SMS al servidor
- Realizar llamadas y enviar SMS de forma remota
- Capturar notificaciones e información del dispositivo
- Recopilar listas de aplicaciones instaladas
- Utilizar proxy de datos WebSocket para comunicaciones sigilosas
Algunas muestras incluso muestran pantallas falsas de actualización mientras descifran y cargan silenciosamente cargas maliciosas en segundo plano.
Respuesta de la industria
Zimperium, miembro de la App Defense Alliance, ha compartido los indicadores de compromiso (IoC) con Google. Como resultado, Google Play Protect ahora detecta y bloquea las variantes conocidas de ClayRat. No obstante, la escala y sofisticación de la campaña sugieren que está lejos de terminar.
Recomendaciones de seguridad
Esta campaña de ClayRat representa una de las amenazas de spyware más peligrosas detectadas en los últimos meses. Su peligrosidad no reside únicamente en el robo de datos personales, sino en que convierte el teléfono de la víctima en una trampa para sus amigos y familiares.
El malware explota la confianza que las personas depositan en sus contactos para propagarse de forma silenciosa y rápida. Si estás instalando archivos APK de forma manual o uniéndote a canales de Telegram para descargar aplicaciones no oficiales, es fundamental que detengas esta práctica de inmediato. Los riesgos han aumentado considerablemente.
Medidas de protección
Para protegerse de amenazas como ClayRat, se recomienda:
- Descargar aplicaciones únicamente desde Google Play Store
- Evitar la instalación manual de archivos APK de fuentes desconocidas
- Desconfiar de canales de Telegram que ofrezcan descargas de aplicaciones populares
- Revisar cuidadosamente los permisos que solicitan las aplicaciones, especialmente los relacionados con SMS
- Mantener actualizado el sistema operativo Android
- Utilizar soluciones de seguridad móvil como Google Play Protect
La rapidez con la que ClayRat está evolucionando y generando nuevas variantes subraya la importancia de mantener una actitud vigilante y adoptar prácticas de seguridad rigurosas en dispositivos móviles.
¿Buscas una agencia que cumpla con los factores E-E-A-T de Google?
En agencia de marketing Leovel, hemos desarrollado estrategias exitosas para empresas de toda España durante más de una década. Te invitamos a conocer nuestro servicio especializado de posicionamiento web SEO y AEO.
