ClayRat, el spyware que se hace pasar por WhatsApp y TikTok en Android

Última actualización: 11 de octubre de 2025
Autor: Pedro Lopez
  • ClayRat suplanta apps como WhatsApp, TikTok, YouTube y Google Fotos para engañar a los usuarios de Android.
  • La campaña usa canales de Telegram y sitios que imitan la Play Store; ya se han detectado más de 600 muestras y 50 droppers.
  • Emplea una instalación basada en sesión y pantallas falsas para eludir alertas, incluso en Android 13 o superior.
  • Interviene SMS, llamadas y cámara, y se propaga a contactos; se recomiendan descargas solo desde Google Play y revisar permisos.

Spyware Android que suplanta aplicaciones

La comunidad de ciberseguridad ha puesto el foco en ClayRat, un spyware para Android que se camufla como aplicaciones populares para lograr instalarse en el móvil de la víctima. Bajo la apariencia de WhatsApp, TikTok, YouTube o Google Fotos, el ataque busca robar datos personales y tomar control de funciones sensibles del dispositivo.

Según investigadores de Zimperium, la campaña se apoya en canales de Telegram y páginas fraudulentas que replican el look & feel de la Google Play Store. El alcance ya es notable: se han identificado más de 600 muestras del malware y al menos 50 droppers distintos, lo que sugiere una operación en expansión y con alto nivel de ingeniería social.

Qué es ClayRat y por qué debería preocuparte

ClayRat es un software espía (RAT) orientado a Android que se hace pasar por apps legítimas para ganarse la confianza del usuario. Una vez dentro, su objetivo es extraer información, vigilar la actividad y mantener persistencia en el sistema de la víctima.

Los analistas señalan que la campaña figura entre las más activas detectadas recientemente en el entorno móvil. Además de robar datos, ClayRat está diseñado para expandirse a nuevos objetivos apoyándose en los propios contactos de la víctima.

Amenaza móvil que imita apps populares

Cómo infecta: suplantación de apps y webs que parecen oficiales

El gancho principal son sitios web falsos que recrean la interfaz de la Play Store o de las páginas oficiales de apps conocidas. En ellos se ofrece la descarga de APKs maliciosas con instrucciones para la instalación manual, minimizando las alertas nativas de Android.

Para reforzar la credibilidad, los atacantes introducen reseñas inventadas, contadores de descargas inflados y comentarios positivos generados de forma automática. Así, el usuario cree estar ante una versión real de WhatsApp o TikTok cuando, en realidad, autoriza la instalación del spyware.

En numerosos casos, la descarga se canaliza a través de Telegram, donde se aloja el APK bajo reclamos como supuestas “actualizaciones” o versiones premium (por ejemplo, YouTube Plus). Este flujo, compacto y convincente, facilita que un clic termine en infección.

Instalación y evasín: menos alertas incluso en Android 13+

Una capacidad destacada de ClayRat es la instalación basada en sesión, un enfoque que imita el proceso de apps legítimas para reducir advertencias visibles. Esta táctica está pensada para saltarse parte de las restricciones introducidas en Android 13 y versiones posteriores.

Algunas muestras actúan como droppers: muestran una pantalla falsa de actualización de la Play Store mientras, en segundo plano, descargan y ejecutan la carga cifrada. Tras el proceso, el malware se oculta entre procesos del sistema a la espera de conectarse a su servidor de mando y control.

Este enfoque reduce el riesgo percibido por el usuario y aumenta la tasa de éxito de la campaña, al simular de forma convincente la experiencia de instalación a la que estamos acostumbrados.

Qué puede hacer en tu móvil: permisos, espionaje y control remoto

Una vez concedidos los permisos, ClayRat solicita acceso a SMS, contactos, cámara y micrófono. Con ello puede interceptar y manipular mensajes al convertirse en la aplicación de SMS predeterminada, e intervenir comunicaciones antes de que otras apps las reciban.

El spyware puede capturar notificaciones, registros de llamadas y fotos con la cámara frontal, además de iniciar llamadas o enviar SMS sin interacción del usuario. Entre los comandos que recibe del C2 destacan:

  • get_apps_list: envía el listado de aplicaciones instaladas.
  • get_calls: recopila el historial de llamadas.
  • get_camera: toma una foto con la cámara frontal y la sube al servidor.
  • get_sms_list / messms: roba SMS o envía mensajes masivos.
  • send_sms / make_call: ejecuta llamadas o mensajes salientes.
  • get_device_info: extrae datos del dispositivo y de la red.
  • get_proxy_data: convierte tráfico HTTP/HTTPS en túneles WebSocket para ocultar comunicaciones.

Para su comunicación con la infraestructura, ClayRat emplea AES-GCM y envío fragmentado de datos, una combinación que complica la detección. Además, usa a las propias víctimas como vehículo de propagación, rebotando enlaces maliciosos a toda la agenda.

Alcance de la campaña y foco geográfico

Los investigadores han observado actividad principalmente en Rusia, si bien advierten que la táctica es replicable y podría extenderse a otras regiones si los operadores lo deciden. La combinación de suplantación visual, abuso de permisos y automatización de envío de SMS lo convierten en una amenaza de alto impacto.

En los últimos 90 días se han detectado más de 600 muestras y 50 droppers, con nuevas capas de ofuscación para evadir defensas. Algunas evaluaciones de seguridad citadas por expertos apuntan a que múltiples apps exponen componentes sensibles o ejecutan acciones peligrosas, un caldo de cultivo ideal para este tipo de campañas.

Cómo protegerte: buenas prácticas y Play Protect

La primera barrera es el sentido común: no instales APKs de fuentes externas, ni aunque prometan funciones premium. Descarga y actualiza siempre desde la Google Play Store y desconfía de los enlaces que circulan por mensajería.

Activa y mantén actualizado Google Play Protect, que ayuda a detectar variantes conocidas y comportamientos sospechosos. Aún así, recuerda que las tácticas de evasión evolucionan, por lo que conviene revisar periódicamente los permisos que concedes.

Presta atención a señales de alarma como consumos anómalos de datos, mensajes enviados sin tu permiso, peticiones para ser la app de SMS predeterminada sin motivo o la aparición de apps con nombres e iconos sospechosamente similares a los originales.

Si sospechas que estás infectado: pasos rápidos

Desconecta datos y Wi-Fi para cortar la comunicación con el C2, y desinstala cualquier app sospechosa (si es necesario, arranca en modo seguro). Revisa qué aplicación es la predeterminada de SMS y restablécela a la oficial.

Pasa un análisis con Play Protect y, si los síntomas persisten, valora un restablecimiento de fábrica tras hacer copia de seguridad de fotos y documentos limpios. Después, cambia contraseñas y revisa métodos 2FA de tus cuentas.

Informa a tus contactos de la posible propagación por SMS para que no abran enlaces que parezcan venir de ti, y evita reinstalar APKs externas que no provengan de la tienda oficial.

ClayRat se aprovecha de la confianza y de la curiosidad para colarse en tu dispositivo: suplantando apps populares, reduciendo las alertas de seguridad y extendiéndose por tus contactos. Mantenerte en la Play Store, verificar permisos y desconfiar de “versiones especiales” son medidas sencillas que marcan la diferencia para no caer en la trampa.

no usamos el micrófono para espiar
Artículo relacionado:
Instagram niega que use el micrófono para espiar y explica los anuncios precisos