Sta circolando una nuova minaccia per i dispositivi Android: ClayRat, uno spyware che utilizza tecniche sofisticate per indurre gli utenti ad installarlo sul proprio dispositivo. I meccanismi sono insidiosi e il pericolo reale: vale la pena capire come funziona per difendersi.
Come si diffonde
Gli autori dietro ClayRat sfruttano due strategie principali: Siti di phishing e domini simili, e Canali Telegram. Nel primo caso, le pagine imitano servizi noti (WhatsApp, TikTok, YouTube, Google Photos) con URL fuorvianti e design credibile, che redirigono verso il download dell’app malevola. Nel secondo, molti APK infetti vengono distribuiti tramite canali Telegram, spesso presentati come versioni migliorate o mod dei servizi popolari. Per aumentare la convinzione, si utilizzano commenti falsi, conteggi di download fasulli e recensioni simulate.
In alcuni casi, ClayRat si presenta solo come un “installer” leggero, mostrando una schermata fasulla simile a quella del Play Store mentre svela e installa di nascosto il vero payload contenuto nella propria struttura interna.
Quali autorizzazioni chiede e cosa può fare
Una delle mosse più pericolose è che ClayRat richiede di diventare app predefinita per gli SMS. Con quel ruolo acquisisce privilegi elevati, potendo: leggere tutti gli SMS in arrivo e quelli salvati, inviare SMS a nome dell’utente, intercettare notifiche e registrare chiamate, scattare foto tramite fotocamera frontale e inviarle al server di controllo, raccogliere dati sul dispositivo e le app installate e trasformare il dispositivo infetto in un nodo di diffusione, inviando link malevoli a tutti i contatti.
Una volta attivo, il malware sfrutta la rubrica per mandare link dannosi a ogni numero, col messaggio travestito da notizia sensazionale per spingere le persone a installare a loro volta l’APK compromesso.
Diffusione, varianti e capacità evasive
ClayRat non è un progetto statico: nel tempo sono state identificate oltre 600 varianti e almeno 50 droppers (installer) differenti, ciascuno con tecniche di offuscamento e cifratura per eludere i controlli di sicurezza.
Alcune versioni usano protocolli HTTP “in chiaro”, altre usano cifratura (AES-GCM) per comunicare con il server di comando e controllo (C2). Alcuni payload sono caricati dinamicamente da asset crittografati, rendendo la rilevazione ancora più complessa.
Gli analisti segnalano che per ora la campagna è concentrata sul territorio russo, ma possono esserci ricadute anche in altri Paesi se i criminali decidessero di ampliare il loro obiettivo. Le app spesso usate come tramite sono WhatsApp e TikTok.
Come proteggersi dall’attacco
Ecco alcune strategie pratiche:
Scarica le app solo dallo store ufficiale (Google Play); evita APK esterni e siti sospetti.
Controlla le autorizzazioni richieste: diffida se un’app vuole essere di default senza una ragione convincente.
Usa antivirus mobile e soluzioni di rilevamento comportamentale, in grado di bloccare comportamenti anomali.
Evita di cliccare link ricevuti via SMS o chat, anche se sembrano provenire da contatti affidabili.
Mantieni il sistema operativo aggiornato e attiva protezioni come Google Play Protect.
ClayRat rappresenta una minaccia con un mix di tecniche ingegnose: phishing, spoofing, uso illegittimo di privilegi di sistema e capacità autoreplicanti. Anche se in questo momento non sembra diffuso a livello globale, la rapidità delle sue varianti e l’autopropagazione lo rendono un pericolo concreto. Restare informati e adottare buone pratiche di sicurezza è oggi più che mai fondamentale.
