https://pepelac.news/nl/posts/id15194-clayrat-geavanceerde-android-malware-kaapt-je-toestel

ClayRat: geavanceerde Android-malware kaapt je toestel

ClayRat evolueert: Android-malware met keylogging en schermopname

ClayRat: geavanceerde Android-malware kaapt je toestel

Zimperium waarschuwt: ClayRat is geavanceerde Android-malware met keylogging, schermopname en anti-verwijdering. Ontdek hoe de trojan zich vermomt. Lees meer.

2025-12-10T17:15:52+03:00

Onderzoekers van Zimperium maken melding van een nieuwe, aanzienlijk geavanceerdere versie van de Android-malware ClayRat. Waar de dreiging eerder vooral fungeerde als een simpele datadief die sms’jes en belhistorie opviste, is zij uitgegroeid tot een veelzijdig surveillancemiddel met diepere systeemtoegang en een ingebouwde bescherming tegen verwijdering. Het is een onrustbarende stap omhoog die de risico’s voor dagelijkse gebruikers merkbaar opschroeft.De vroegste varianten, gesignaleerd in het najaar van 2024, bleven relatief beperkt. Nu leunt ClayRat op de toegankelijkheidsdiensten van Android, waardoor aanvallers de interface van het toestel vrijwel zonder beperkingen kunnen bedienen. De toolkit is uitgebreid met toetsaanslagregistratie, het vastleggen van pincodes, het uitlezen van wachtwoorden en zelfs het automatisch ontgrendelen van het scherm.Specialisten wijzen bovendien op een nieuw vangnet tegen verwijdering: ClayRat onderschept tikken, blokkeert gebruikerscommando’s en vervangt acties om te voorkomen dat de telefoon wordt uitgezet of dat de malware wordt gedeïnstalleerd. Op het scherm kunnen misleidende overlays verschijnen—bijvoorbeeld een venster met de melding ‘systeemupdate’—die verhullen wat er werkelijk gebeurt. Dat soort schijnbewegingen kan gebruikers aan het twijfelen brengen over wat zij zien.Voor zijn verspreiding vermomt het trojan-programma zich als populaire apps: clients voor videodiensten, messengers en lokale taxi- of parkeertoepassingen. Zimperium identificeerde meer dan 25 lokdomeinen, waaronder valse versies van YouTube Pro en Car Scanner ELM. De aanvallers hosten de APK-bestanden ook op Dropbox om beveiligingsfilters te omzeilen. Door te leunen op vertrouwde merken en legitieme cloudopslag oogt de truc geloofwaardig.Na installatie krijgt ClayRat vrijwel volledige controle: het neemt het scherm op via de MediaProjection-API, onderschept meldingen, past reacties aan en kan eenmalige codes stelen of zich bemoeien met gesprekken. Met zo’n voet tussen de deur verlopen zelfs routinehandelingen soms net anders dan verwacht.

ClayRat, Android-malware, Android toegankelijkheidsdiensten, keylogging, schermopname, MediaProjection API, Zimperium, trojan, APK, overlays, anti-verwijdering, 2FA-codes, Dropbox, YouTube Pro

2025

Danny Weber

news

ClayRat evolueert: Android-malware met keylogging en schermopname

Zimperium waarschuwt: ClayRat is geavanceerde Android-malware met keylogging, schermopname en anti-verwijdering. Ontdek hoe de trojan zich vermomt. Lees meer.

Danny Weber, Editor

17:15 10-12-2025

De vroegste varianten, gesignaleerd in het najaar van 2024, bleven relatief beperkt. Nu leunt ClayRat op de toegankelijkheidsdiensten van Android, waardoor aanvallers de interface van het toestel vrijwel zonder beperkingen kunnen bedienen. De toolkit is uitgebreid met toetsaanslagregistratie, het vastleggen van pincodes, het uitlezen van wachtwoorden en zelfs het automatisch ontgrendelen van het scherm.

Specialisten wijzen bovendien op een nieuw vangnet tegen verwijdering: ClayRat onderschept tikken, blokkeert gebruikerscommando’s en vervangt acties om te voorkomen dat de telefoon wordt uitgezet of dat de malware wordt gedeïnstalleerd. Op het scherm kunnen misleidende overlays verschijnen—bijvoorbeeld een venster met de melding ‘systeemupdate’—die verhullen wat er werkelijk gebeurt. Dat soort schijnbewegingen kan gebruikers aan het twijfelen brengen over wat zij zien.

Voor zijn verspreiding vermomt het trojan-programma zich als populaire apps: clients voor videodiensten, messengers en lokale taxi- of parkeertoepassingen. Zimperium identificeerde meer dan 25 lokdomeinen, waaronder valse versies van YouTube Pro en Car Scanner ELM. De aanvallers hosten de APK-bestanden ook op Dropbox om beveiligingsfilters te omzeilen. Door te leunen op vertrouwde merken en legitieme cloudopslag oogt de truc geloofwaardig.

Na installatie krijgt ClayRat vrijwel volledige controle: het neemt het scherm op via de MediaProjection-API, onderschept meldingen, past reacties aan en kan eenmalige codes stelen of zich bemoeien met gesprekken. Met zo’n voet tussen de deur verlopen zelfs routinehandelingen soms net anders dan verwacht.