Android-spyware spreder sig via falske apps og Telegram-kanaler

Eskil Sørensen
10.10.2025 10:22
Rettet mod brugere i Rusland, men det kommer sikkert til at sprede sig

En nyspyware kaldet ClayRat spreder sig hurtigt blandt Android-brugere og udnytter sociale og tekniske mekanismer til at omgå traditionelle sikkerhedsbarrierer. Ifølge analyser fra Zimperium’s zLabs er kampagnen i øjeblikket primært rettet mod brugere i Rusland, men metoderne og omfanget indikerer et potentielt globalt trusselsbillede.

Det skriver HackRead og en række andre medier.

Falske apps og troværdige facader

ClayRat distribueres via falske versioner af populære apps som TikTok, WhatsApp og Google Photos. Disse applikationer præsenteres på hjemmesider, der efterligner officielle tjenester, og brugeren ledes videre til Telegram-kanaler, hvor APK-filerne er tilgængelige. Kanalerne er typisk fyldt med falske kommentarer og høje downloadtal for at skabe en illusion af legitimitet.

Funktioner og spredningsmekanismer

Når ClayRat er installeret, får det adgang til en række følsomme funktioner på enheden:

  • Aflæsning af SMS og opkaldshistorik
  • Skjult aktivering af frontkameraet
  • Mulighed for at sende beskeder og foretage opkald uden brugerens samtykke

Spywaren udnytter Androids rollebaserede tilladelser, især som standard SMS-håndterer, hvilket giver den mulighed for at omgå advarsler og sende beskeder til alle kontakter i telefonbogen. Beskeden indeholder typisk et link og en opfordring til at "være den første til at vide noget". Det kan øge sandsynligheden for klik og videre spredning.

Hurtig udvikling og evasion

Zimperium har identificeret over 600 varianter af ClayRat og 50 forskellige dropper-apps på blot tre måneder. Den høje variation og hastighed i udviklingen tyder på en aktiv indsats for at undgå detektion og opretholde momentum i spredningen.

HackRead skriver, at ClayRat-kampagnen illustrerer, hvordan mobilplatforme stadig mangler ”robuste mekanismer” til at håndtere kompromitterede kontakter og socialt manipulerede installationer. I modsætning til e-mail, hvor phishing-filtre og domænevalidering er udbredt, er SMS stadig præget af implicit tillid, hedder det.

Selvom ClayRat i øjeblikket primært rammer russiske brugere, er det ikke usandsynligt, at lignende kampagner vil dukke op i andre regioner. Sådan plejer det at være. 

 

 

Læs mere

Information