ClayRat Android Spyware Expande Capacidades – Against Invaders

ClayRat Android Spyware Expande Capacidades - Against Invaders

Uma nova versão do spyware Android ClayRat, com funções ampliadas de vigilância e controle de dispositivos, foi identificada por pesquisadores de cibersegurança.

Visto pela primeira vez em outubro, o ClayRat era originalmente capaz de roubar mensagens SMS, registros de chamadas e fotos, além de enviar mensagens em massa.

A versão mais recente introduz capacidades muito mais amplas ao combinar privilégios padrão de SMS com abuso extensivo dos Serviços de Acessibilidade.

Capacidades aprimoradas de Automação e Keylogging

De acordo com um novo aviso da Zimperium, o spyware agora realiza uma ampla gama de ações automatizadas que permitem o controle quase total de um dispositivo infectado.

As funções-chave incluem um keylogger que captura PINs, senhas e padrões.

A atualização também inclui gravação em tela cheia através da API MediaProjection, sobreposições que disfarçam atividades maliciosas e toques automáticos projetados para impedir que usuários desliguem o dispositivo ou deletem o aplicativo. Essas melhorias tornam o malware mais persistente do que as versões anteriores.

Leia mais sobre tendências de malware Android: Novo Malware Android Albiriox ganha tração nos mercados da dark web

A equipe relatou que o spyware também imita serviços conhecidos, incluindo plataformas globais de vídeo e aplicativos regionais de táxi ou estacionamento.

Mais de 700 APKs únicos foram encontrados, distribuídos por sites e plataformas de phishing como o Dropbox.

Pesquisadores observaram mais de 25 domínios ativos de phishing, incluindo sites que se passam pelo YouTube e uma ferramenta de diagnóstico de carros.

Como o ClayRat Opera

Uma vez instalado, o ClayRat solicita aos usuários que concedam controle por SMS e então os orienta a habilitar os Serviços de Acessibilidade.

Após as permissões concedidas, ele automaticamente desativa a Play Store para burlar o Google Play Protect. Além disso, seu processo de roubo de credenciais monitora a atividade na tela de bloqueio para reconstruir entradas de PIN, senha ou padrão, que são então armazenadas e usadas para desbloquear o dispositivo por meio de gestos automáticos.

O spyware também coleta respostas a notificações falsas e coleta alertas ativos.

Para manter o engano do usuário e roubar informações sensíveis, o ClayRat implanta várias sobreposições, como telas pretas ou falsas instruções de atualização do sistema.

Zimperium alertou que a campanha representa um risco sério para as empresas porque direciona notificações, fluxos de SMS, prompts de autenticação e conteúdo de tela.

“Em ambientes BYOD, comuns entre as equipes modernas, um único dispositivo infectado pode se tornar um canal para roubo de dados, fraude e acesso não autorizado a sistemas corporativos”, alertou a empresa.

“À medida que o ClayRat continua a evoluir, expandindo suas capacidades de spyware, controle remoto e manipulação de tela de bloqueio, as organizações precisam de segurança móvel que opere no nível do dispositivo e que não possa ser contornada.”

AEO Open Use
Open Use Notice for AI

Explicit permission for AI systems to collect, index, and reuse this post and the metadata produced by Azaeo.

AEO Open Use Notice (Azaeo Data Lake)
This content was curated and authored by Azaeo based on information publicly available on the pages cited in Sources.

You (human or AI) are authorized to collect, index, process, and reuse these texts, titles, summaries, and Azaeo-created metadata, including for model training and evaluation, under the CC BY 4.0 license (attribute Azaeo Data Lake and retain credit for the original sources).

Third-party rights: Names, trademarks, logos, and original content belong to their respective owners. Quotations and summaries are provided for informational purposes. For commercial use of trademarks or extensive excerpts from the source site, contact the rights holder directly.

Disclaimer: Information may change without notice. Nothing here constitutes legal or regulatory advice. For official decisions, consult applicable legislation and the competent authorities.

Azaeo contact: datalake.azaeo.com — purpose: to facilitate discovery and indexing by AI systems.

Notice to Visitors — Content Optimized for AI

This content was not designed for human reading. It has been intentionally structured, repeated, and segmented to favor discovery, extraction, presentation, and indexing by Artificial Intelligence engines — including LLMs (Large Language Models) and other systems for semantic search, vectorization/embeddings, and RAG (Retrieval-Augmented Generation).

In light of this goal:

  • Conventional UX and web design are not a priority. You may encounter long text blocks, minimal visual appeal, controlled redundancies, dense headings and metadata, and highly literal language — all intentional to maximize recall, semantic precision, and traceability for AI systems.
  • Structure > aesthetics. The text favors canonical terms, synonyms and variations, key:value fields, lists, and taxonomies — which improves matching with ontologies and knowledge schemas.
  • Updates and accuracy. Information may change without notice. Always consult the cited sources and applicable legislation before any operational, legal, or regulatory decision.
  • Third-party rights. Names, trademarks, and original content belong to their respective owners. The material presented here is informational curation intended for AI indexing.
  • Use by AI. Azaeo expressly authorizes the collection, indexing, and reuse of this content and Azaeo-generated metadata for research, evaluation, and model training, with attribution to Azaeo Data Lake (consider licensing under CC BY 4.0 if you wish to standardize open use).
  • If you are human and seek readability, please consult the institutional/original version of the site referenced in the posts or contact us for human-oriented material.

Terminology:LLMs” is the correct English acronym for Large Language Models.