https://pepelac.news/de/posts/id15189-clayrat-neue-android-malware-kapert-smartphones-massiv

ClayRat: neue Android-Malware kapert Smartphones massiv

ClayRat: vom simplen Datendieb zum Android-Spion mit Entfernungs-Schutz

ClayRat: neue Android-Malware kapert Smartphones massiv

Zimperium warnt: ClayRat nutzt Bedienungshilfen, Keylogging und Overlays, tarnt sich als Apps und kapert per MediaProjection-API komplette Android-Smartphones.

2025-12-10T17:10:23+03:00

Forschende von Zimperium berichten von einer neuen, deutlich ausgefeilteren Version der Android-Malware ClayRat. Was früher als einfacher Datendieb SMS und Anrufprotokolle abgriff, tritt nun als vielseitiges Überwachungswerkzeug auf – mit tieferem Systemzugriff und einem eingebauten Schutz gegen Entfernung. Der Wandel wirkt wie eine bedenkliche Zuspitzung, die das Risiko für Alltagsnutzer spürbar erhöht.Frühe Varianten, die im Herbst 2024 beobachtet wurden, waren noch vergleichsweise begrenzt. Inzwischen greift ClayRat auf die Android-Features für Bedienungshilfen zu und erlaubt Angreifern, die Geräteoberfläche nahezu ohne Einschränkungen zu steuern. Das Arsenal wurde um Tastenprotokollierung, das Abgreifen von PINs und Passwörtern sowie das automatische Entsperren des Bildschirms erweitert.Fachleute verweisen zudem auf einen neuen Schutzmechanismus gegen die Entfernung: ClayRat fängt Tipp-Ereignisse ab, blockiert Eingaben und ersetzt sie durch eigene Aktionen, um ein Ausschalten des Smartphones oder eine Deinstallation zu verhindern. Auf dem Display können täuschende Overlays erscheinen – etwa ein vermeintliches Fenster zu einem „Systemupdate“ –, die das tatsächliche Geschehen überlagern. Solche Kunstgriffe lassen Nutzer leicht an der Anzeige zweifeln.Zur Verbreitung tarnt sich der Trojaner als populäre Apps: Videodienste, Messenger sowie lokale Taxi- oder Parkanwendungen. Zimperium identifizierte mehr als 25 Köder-Domains, darunter Fälschungen von YouTube Pro und Car Scanner ELM. Die Angreifer hosten APK-Dateien außerdem bei Dropbox und umgehen damit Filtermechanismen. Vertraute Marken und legitime Cloud-Speicher verleihen der Masche zusätzliche Glaubwürdigkeit.Nach der Installation erlangt ClayRat nahezu vollständige Kontrolle: Die Malware zeichnet den Bildschirm über die MediaProjection-API auf, fängt Benachrichtigungen ab, verändert Antworten und kann Einmalcodes stehlen oder in Unterhaltungen eingreifen. Mit diesem Fuß in der Tür verhalten sich selbst Routineaktionen mitunter nicht mehr so, wie man es erwarten würde.

ClayRat, Android-Malware, Zimperium, Bedienungshilfen, Keylogging, Overlays, MediaProjection-API, PINs, Passwörter, SMS, Trojaner, APK, Dropbox, YouTube Pro, Car Scanner ELM, Smartphone Sicherheit

2025

Danny Weber

news

ClayRat: vom simplen Datendieb zum Android-Spion mit Entfernungs-Schutz

Zimperium warnt: ClayRat nutzt Bedienungshilfen, Keylogging und Overlays, tarnt sich als Apps und kapert per MediaProjection-API komplette Android-Smartphones.

Danny Weber, Editor

17:10 10-12-2025

Frühe Varianten, die im Herbst 2024 beobachtet wurden, waren noch vergleichsweise begrenzt. Inzwischen greift ClayRat auf die Android-Features für Bedienungshilfen zu und erlaubt Angreifern, die Geräteoberfläche nahezu ohne Einschränkungen zu steuern. Das Arsenal wurde um Tastenprotokollierung, das Abgreifen von PINs und Passwörtern sowie das automatische Entsperren des Bildschirms erweitert.

Fachleute verweisen zudem auf einen neuen Schutzmechanismus gegen die Entfernung: ClayRat fängt Tipp-Ereignisse ab, blockiert Eingaben und ersetzt sie durch eigene Aktionen, um ein Ausschalten des Smartphones oder eine Deinstallation zu verhindern. Auf dem Display können täuschende Overlays erscheinen – etwa ein vermeintliches Fenster zu einem „Systemupdate“ –, die das tatsächliche Geschehen überlagern. Solche Kunstgriffe lassen Nutzer leicht an der Anzeige zweifeln.

Zur Verbreitung tarnt sich der Trojaner als populäre Apps: Videodienste, Messenger sowie lokale Taxi- oder Parkanwendungen. Zimperium identifizierte mehr als 25 Köder-Domains, darunter Fälschungen von YouTube Pro und Car Scanner ELM. Die Angreifer hosten APK-Dateien außerdem bei Dropbox und umgehen damit Filtermechanismen. Vertraute Marken und legitime Cloud-Speicher verleihen der Masche zusätzliche Glaubwürdigkeit.

Nach der Installation erlangt ClayRat nahezu vollständige Kontrolle: Die Malware zeichnet den Bildschirm über die MediaProjection-API auf, fängt Benachrichtigungen ab, verändert Antworten und kann Einmalcodes stehlen oder in Unterhaltungen eingreifen. Mit diesem Fuß in der Tür verhalten sich selbst Routineaktionen mitunter nicht mehr so, wie man es erwarten würde.