https://pepelac.news/es/posts/id15191-clayrat-malware-de-android-evoluciona-con-control-total

ClayRat: malware de Android evoluciona con control total

ClayRat se vuelve más peligroso: troyano de Android con accesibilidad, keylogger y defensas antieliminación

ClayRat: malware de Android evoluciona con control total

Zimperium detecta una versión avanzada de ClayRat: malware de Android con accesibilidad, keylogger, robo de PIN, superposiciones y bloqueo antieliminación.

2025-12-10T17:12:17+03:00

Investigadores de Zimperium reportan una nueva versión, mucho más sofisticada, del malware para Android ClayRat. Si antes se limitaba a robar información básica como SMS y registros de llamadas, ahora se ha convertido en una herramienta de vigilancia multipropósito con acceso más profundo al sistema y defensas integradas contra su eliminación. La evolución no es un simple retoque: supone una escalada inquietante que eleva el riesgo para el usuario de a pie.Las primeras variantes detectadas en el otoño de 2024 eran relativamente limitadas. Hoy, ClayRat aprovecha los servicios de accesibilidad de Android, lo que permite a los atacantes operar la interfaz del dispositivo con escasas restricciones. El arsenal creció para incluir registro de pulsaciones, captura del PIN, lectura de contraseñas e incluso desbloqueo automático de la pantalla, un conjunto de capacidades que amplía notablemente el radio de acción del troyano.Los especialistas señalan además una nueva salvaguarda antieliminación: ClayRat intercepta los toques, bloquea comandos del usuario y sustituye acciones para impedir que el teléfono se apague o que se desinstale el propio malware. En la pantalla pueden aparecer superposiciones falsas —como una ventana de actualización del sistema— que ocultan lo que realmente está ocurriendo. Ese juego de manos puede dejar al usuario dudando de lo que ve.Para propagarse, el troyano se camufla como apps populares: clientes de servicios de video, mensajerías y servicios locales de taxi o estacionamiento. Zimperium identificó más de 25 dominios señuelo, entre ellos versiones falsas de YouTube Pro y Car Scanner ELM. Los atacantes también alojan archivos APK en Dropbox, esquivando así los filtros de seguridad. Apoyarse en marcas conocidas y en almacenamiento en la nube legítimo hace que el engaño resulte más convincente.Una vez instalado, ClayRat gana un control casi total: graba la pantalla mediante la API MediaProjection, intercepta notificaciones, altera respuestas y puede robar códigos de un solo uso o interferir en conversaciones. Con ese punto de apoyo, hasta las acciones rutinarias pueden no comportarse como se espera, y la sensación de control por parte del usuario se diluye.

malware Android, ClayRat, Zimperium, troyano Android, accesibilidad, keylogger, robo de PIN, superposiciones falsas, antieliminación, MediaProjection, APK en Dropbox, apps falsas

2025

Danny Weber

news

ClayRat se vuelve más peligroso: troyano de Android con accesibilidad, keylogger y defensas antieliminación

Zimperium detecta una versión avanzada de ClayRat: malware de Android con accesibilidad, keylogger, robo de PIN, superposiciones y bloqueo antieliminación.

Danny Weber, Editor

17:12 10-12-2025

Las primeras variantes detectadas en el otoño de 2024 eran relativamente limitadas. Hoy, ClayRat aprovecha los servicios de accesibilidad de Android, lo que permite a los atacantes operar la interfaz del dispositivo con escasas restricciones. El arsenal creció para incluir registro de pulsaciones, captura del PIN, lectura de contraseñas e incluso desbloqueo automático de la pantalla, un conjunto de capacidades que amplía notablemente el radio de acción del troyano.

Los especialistas señalan además una nueva salvaguarda antieliminación: ClayRat intercepta los toques, bloquea comandos del usuario y sustituye acciones para impedir que el teléfono se apague o que se desinstale el propio malware. En la pantalla pueden aparecer superposiciones falsas —como una ventana de actualización del sistema— que ocultan lo que realmente está ocurriendo. Ese juego de manos puede dejar al usuario dudando de lo que ve.

Para propagarse, el troyano se camufla como apps populares: clientes de servicios de video, mensajerías y servicios locales de taxi o estacionamiento. Zimperium identificó más de 25 dominios señuelo, entre ellos versiones falsas de YouTube Pro y Car Scanner ELM. Los atacantes también alojan archivos APK en Dropbox, esquivando así los filtros de seguridad. Apoyarse en marcas conocidas y en almacenamiento en la nube legítimo hace que el engaño resulte más convincente.

Una vez instalado, ClayRat gana un control casi total: graba la pantalla mediante la API MediaProjection, intercepta notificaciones, altera respuestas y puede robar códigos de un solo uso o interferir en conversaciones. Con ese punto de apoyo, hasta las acciones rutinarias pueden no comportarse como se espera, y la sensación de control por parte del usuario se diluye.