Eine hochentwickelte Android-Spyware namens "ClayRat" infiziert derzeit Smartphones über gefälschte Versionen beliebter Apps wie Telegram, WhatsApp und TikTok. Die Schadsoftware verwandelt gekaperte Geräte in Verteilzentren für weitere Angriffe.

Das Sicherheitsunternehmen Zimperium warnt vor einer aggressiven Kampagne, die in den vergangenen drei Monaten massiv an Fahrt aufgenommen hat. Über 600 verschiedene Malware-Varianten und mehr als 50 sogenannte "Dropper"-Anwendungen wurden bereits identifiziert. Die Angreifer konzentrieren sich bislang hauptsächlich auf russische Nutzer.

Das Vorgehen ist perfide: Nutzer werden durch täuschend echte Phishing-Websites dazu verleitet, schädliche APK-Dateien zu installieren, die als Google Photos, TikTok oder YouTube getarnt sind. Diese gefälschten Apps werden über überzeugende Fake-Webseiten und spezielle Telegram-Kanäle beworben – komplett mit erfundenen Download-Zahlen und gefälschten Nutzerbewertungen.

Ist ClayRat erst einmal installiert, wird das Smartphone zum gläsernen Gerät: Die Spyware stiehlt Textnachrichten, Anruflisten und Benachrichtigungen. Besonders heimtückisch: Sie kann unbemerkt Fotos mit der Frontkamera aufnehmen.
Anzeige: Phishing-Websites, gefälschte Apps und übersehene Berechtigungen sind die häufigsten Einfallstore – doch Sie können Ihr Android mit wenigen Handgriffen deutlich härten. Der kostenlose Ratgeber „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone“ erklärt Schritt für Schritt, wie Sie WhatsApp, Online‑Banking & Co. zuverlässig absichern – ganz ohne teure Zusatz-Apps. Inklusive Checklisten für geprüfte Apps, automatische Prüfungen und wichtige Update‑Einstellungen. Jetzt das kostenlose Sicherheitspaket anfordern

Raffinierte Tarnung umgeht Android-Sicherheit

Die ClayRat-Entwickler setzen auf ausgeklügelte Social-Engineering-Methoden. Der Infektionsprozess beginnt mit Phishing-Websites, die legitime Dienste perfekt nachahmen. Von dort werden Nutzer zu Telegram-Kanälen weitergeleitet, wo die Schadsoftware gehostet wird.

Clever: Die Angreifer liefern detaillierte Schritt-für-Schritt-Anleitungen mit, die Nutzer dazu animieren, Sicherheitswarnungen zu ignorieren und die Installation von Apps aus unbekannten Quellen zu erlauben. Oft fungiert die erste heruntergeladene App nur als Dropper – sie zeigt einen gefälschten Update-Bildschirm im Google Play Store-Design und installiert dann heimlich die eigentliche Spyware.

Diese mehrstufige Herangehensweise soll Verdacht vermeiden und die Schutzmaßnahmen neuerer Android-Versionen aushebeln.

Missbrauch von SMS-Berechtigungen als Schlüssel zum Erfolg

Besonders gefährlich wird ClayRat durch den Missbrauch von Androids Standard-SMS-Handler-Rolle. Gewährt der Nutzer diese mächtige Berechtigung, erhält die Spyware weitreichenden Zugriff auf alle SMS-Inhalte und Messaging-Funktionen – ohne weitere Nachfragen beim Nutzer.

„ClayRat stellt eine ernste Bedrohung dar, nicht nur wegen seiner umfassenden Überwachungsfähigkeiten, sondern auch wegen des Missbrauchs von Androids SMS-Handler-Rolle", warnen die Zimperium-Forscher. Diese privilegierte Position ermöglicht es der Malware, sensible Informationen abzufangen – einschließlich Einmalpasswörter für die Zwei-Faktor-Authentifizierung.

Die Folgen: Konto-Übernahmen und Finanzbetrug werden möglich. Zusätzlich kann die Spyware eigenständig Anrufe tätigen und eine vollständige Liste aller installierten Apps an ihre Kommandozentrale übermitteln.

Automatische Ausbreitung: Opfer werden zu Tätern

Was ClayRat besonders gefährlich macht: Die Malware breitet sich selbstständig aus. Sobald SMS-Berechtigungen erteilt sind, verschickt sie automatisch manipulative Nachrichten an alle Kontakte im Telefonbuch des Opfers.

Diese Nachrichten – oft mit dringlichen russischen Phrasen wie „Узнай первым!" (Erfahre es als Erster!) – enthalten schädliche Links zu denselben Phishing-Websites oder Telegram-Kanälen. Da die Nachricht scheinbar von einem vertrauenswürdigen Kontakt stammt, ist die Klick-Wahrscheinlichkeit deutlich höher.

Jedes infizierte Gerät wird so zum neuen Verteilknoten – ein exponentielles Wachstum ohne zusätzliche Infrastruktur der Angreifer. Diese automatisierte Ausbreitung macht ClayRat zu einer sich rasant ausdehnenden Bedrohung.
Anzeige: Missbrauch der SMS-Handler-Rolle, Phishing-Links aus dem Adressbuch – genau hier setzen einfache Schutzroutinen an. Der Gratis-Ratgeber zeigt die 5 Maßnahmen, die viele Android‑Nutzer übersehen, und wie Sie sie in Minuten aktivieren. Ideal für Alltagsthemen wie WhatsApp, PayPal und Online‑Banking. Gratis-Ratgeber „5 Schutzmaßnahmen“ sichern

Experten warnen vor globaler Ausbreitung

Die Entstehung von ClayRat unterstreicht den Trend, dass Cyberkriminelle verstärkt auf Social Engineering und vertrauenswürdige Plattformen wie Telegram setzen, um offizielle App-Store-Sicherheitsmaßnahmen zu umgehen. Der Missbrauch der SMS-Handler-Rolle zeigt ein tiefes Verständnis des Android-Systems.

„ClayRat demonstriert, wie sich Angreifer schneller denn je weiterentwickeln – sie kombinieren Social Engineering, Selbstausbreitung und Systemmissbrauch für maximale Reichweite", erklärt Shridhar Mittal, CEO von Zimperium.

Obwohl sich die Kampagne derzeit auf russische Nutzer konzentriert, warnen Sicherheitsexperten: Die Methoden lassen sich problemlos für globale Zielgruppen adaptieren. Die schnelle Entwicklung mit Hunderten Varianten in wenigen Monaten deutet darauf hin, dass die Entwickler aktiv an Verbesserungen arbeiten.

Experten raten: Apps nur aus offiziellen Quellen herunterladen, bei unaufgeforderten SMS-Links skeptisch bleiben und App-Berechtigungen sorgfältig prüfen. Google bestätigt zwar, dass Play Protect vor bekannten Versionen schützt – doch bei Sideloading bleibt die Nutzer-Wachsamkeit die wichtigste Verteidigungslinie.