Eine rafffinierte Spyware-Kampagne namens "ClayRat" nimmt derzeit Android-Nutzer ins Visier und versteckt sich hinter bekannten Apps wie WhatsApp, TikTok oder YouTube. Was diese Schadsoftware besonders gefährlich macht: Sie verbreitet sich selbst über die Kontakte ihrer Opfer weiter.

Cybersicherheitsforscher haben bereits über 600 verschiedene Varianten der Malware entdeckt. Die Angreifer nutzen gefälschte Telegram-Kanäle und Phishing-Webseiten, um Nutzer zur Installation zu verführen. Einmal installiert, kann die Spyware SMS lesen, Fotos schießen und sogar Anrufe tätigen – alles ohne Wissen des Nutzers.

Hauptziel: Russischsprachige Nutzer

Die Aktivität der ClayRat-Kampagne ist in den vergangenen drei Monaten drastisch gestiegen. Primär im Fokus stehen russischsprachige Nutzer, wie das Sicherheitsunternehmen Zimperium berichtet. Die Angreifer kombinieren geschickt Social Engineering mit fortschrittlichen Verschleierungstechniken, um Androids eingebaute Sicherheitsmechanismen zu umgehen.

Der Trend zeigt: Cyberkriminelle nutzen immer häufiger vertraute Markennamen und inoffizielle Vertriebskanäle, um Nutzern zu schaden. Besonders perfide dabei ist die Ausnutzung des Vertrauens in etablierte Anwendungen.

Raffinierte Angriffsstrategie

Der Infektionsweg beginnt mit überzeugenden Phishing-Webseiten, die legitime Dienste nachahmen. Von dort werden Nutzer zu Telegram-Kanälen weitergeleitet, wo die schädlichen App-Installer (APKs) bereitstehen. Diese Kanäle wirken durch gefälschte Bewertungen, übertriebene Download-Zahlen und detaillierte Anleitungen vertrauenswürdig.

Um neuere Android-Sicherheitsmaßnahmen zu überwinden, setzt ClayRat auf sogenannte "Dropper"-Anwendungen. Diese zeigen einen gefälschten Google Play Update-Bildschirm an, während im Hintergrund die Schadsoftware installiert wird. Diese Methode zielt speziell darauf ab, die ab Android 13 eingeführten Installationsbeschränkungen zu umgehen.

Umfassende Überwachung und automatische Verbreitung

Die Spyware sammelt nach der Installation verschiedenste persönliche Daten: SMS-Nachrichten, Anrufprotokolle, Kontaktlisten und Benachrichtigungen. Besonders beunruhigend ist die Fähigkeit, heimlich Fotos mit der Frontkamera zu schießen.

Extrem gefährlich wird ClayRat durch die Übernahme der Standard-SMS-Funktion. Dadurch kann die Malware unbemerkt Nachrichten lesen, speichern und versenden. Sie nutzt dies zur automatischen Weiterverbreitung: An jeden gespeicherten Kontakt werden Nachrichten mit schädlichen Links versendet. Jedes infizierte Gerät wird so zum Verbreitungshub für weitere Angriffe.

Wachsende Bedrohung für mobile Geräte

ClayRat steht beispielhaft für einen besorgniserregenden Trend im Jahr 2025. Kaspersky verzeichnete bereits im ersten Halbjahr einen Anstieg der Android-Angriffe um 29 Prozent gegenüber dem Vorjahr. Verantwortlich sind vor allem Banking-Trojaner, Spyware und Adware, die über irreführende Kanäle verbreitet werden.

Ähnliche Kampagnen häufen sich: Der "Klopatra"-Banking-Trojaner tarnte sich als VPN-App namens "Mobdro Pro IP TV + VPN". Die Spyware-Programme "ProSpy" und "ToSpy" gaben sich als sichere Messenger-Apps wie Signal aus und zielten auf Nutzer in den Vereinigten Arabischen Emiraten ab.

Schutzmaßnahmen und Ausblick

Google bestätigte, dass Android-Nutzer automatisch durch Google Play Protect vor bekannten ClayRat-Versionen geschützt sind. Allerdings entwickelt sich die Malware rasant weiter und fügt in jeder neuen Version weitere Verschleierungsebenen hinzu.

Experten empfehlen folgende Schutzmaßnahmen:
- Installation aus unbekannten Quellen in den Android-Einstellungen deaktivieren
- Keine Apps von Drittanbieter-Webseiten oder unverifizierten Telegram-Kanälen installieren
- App-Berechtigungen vor der Vergabe gründlich prüfen
- Vorsicht bei Anwendungen, die umfassenden Zugriff auf SMS und Bedienungshilfen verlangen

Anzeige: Passend zum Thema Android-Sicherheit – viele Nutzer übersehen diese 5 Maßnahmen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie WhatsApp, Banking & Co. ohne teure Zusatz-Apps absichern, schädliche Links erkennen und wichtige Einstellungen richtig setzen. Inklusive Checklisten für geprüfte Apps, automatische Prüfungen und Updates. Jetzt das kostenlose Android-Sicherheitspaket anfordern

Für Unternehmen ist die Durchsetzung von Mobile-App-Management-Richtlinien entscheidend. Diese sollten begrenzen, welche Apps sensible Rollen wie die Standard-SMS-Funktion übernehmen dürfen. Da Angreifer ihre Social-Engineering-Taktiken stetig verfeinern, bleibt die Wachsamkeit der Nutzer die wichtigste Verteidigungslinie gegen die wachsende Bedrohung durch Android-Malware.