https://pepelac.news/no/posts/id15196-clayrat-ny-android-skadevare-med-dypere-overvaking

ClayRat: ny Android-skadevare med dypere overvåking

ClayRat oppgraderes: fra enkel infostealer til avansert Android-overvåking

ClayRat: ny Android-skadevare med dypere overvåking

Zimperium avslører ClayRat: Android-skadevare som har gått fra infostealer til overvåkingsverktøy. Misbruker tilgjengelighetstjenester, logger taster og PIN.

2025-12-10T17:17:49+03:00

Forskere hos Zimperium rapporterer om en ny, mer sofistikert versjon av Android-skadekoden ClayRat. Der trusselen tidligere oppførte seg som en enkel infostealer som hentet SMS og anropslogger, har den nå utviklet seg til et flerbruks verktøy for overvåking med dypere systemtilgang og innebygd beskyttelse mot fjerning. Skiftet fremstår som en urovekkende opptrapping som øker risikoen for vanlige brukere.Tidlige varianter oppdaget høsten 2024 var relativt begrensede. Nå utnytter ClayRat Androids tilgjengelighetstjenester, noe som lar angripere styre enhetens grensesnitt med få begrensninger. Verktøykassen er utvidet til å omfatte tastelogg, innhenting av PIN-koder, lesing av passord og til og med automatisk opplåsing av skjermen.Fagfolk peker også på en ny sikring mot fjerning: ClayRat fanger opp trykk, blokkerer brukerkommandoer og bytter dem ut med handlinger som hindrer at telefonen slås av eller at skadevaren avinstalleres. På skjermen kan det dukke opp falske overlegg — for eksempel et vindu for «systemoppdatering» — som skjuler hva som faktisk skjer. Slike knep får brukeren lett til å tvile på egne øyne.For å spre seg kamuflerer trojaneren seg som populære apper: videoklienter, meldingsapper og lokale taxi- eller parkeringstjenester. Zimperium identifiserte mer enn 25 lokkedomener, blant annet forfalskede versjoner av YouTube Pro og Car Scanner ELM. Angriperne lagrer også APK-filer på Dropbox for å omgå sikkerhetsfiltre. Når kjente merkevarer blandes med legitim skylagring, fremstår opplegget desto mer troverdig.Når den først er installert, får ClayRat nær full kontroll: den tar opp skjermen via MediaProjection-API-et, fanger opp varsler, endrer svar og kan stjele engangskoder eller blande seg inn i samtaler. Med et slikt fotfeste oppfører selv rutinehandlinger seg ofte ikke helt som forventet — og nettopp den usikkerheten er det som gjør trusselen så nærgående.

ClayRat, Android, skadevare, trojaner, infostealer, tilgjengelighetstjenester, keylogger, PIN-koder, MediaProjection, Zimperium, falske apper, YouTube Pro, Dropbox, OTP, skjermopptak, overvåking

2025

Danny Weber

news

ClayRat oppgraderes: fra enkel infostealer til avansert Android-overvåking

Zimperium avslører ClayRat: Android-skadevare som har gått fra infostealer til overvåkingsverktøy. Misbruker tilgjengelighetstjenester, logger taster og PIN.

Danny Weber, Editor

17:17 10-12-2025

Tidlige varianter oppdaget høsten 2024 var relativt begrensede. Nå utnytter ClayRat Androids tilgjengelighetstjenester, noe som lar angripere styre enhetens grensesnitt med få begrensninger. Verktøykassen er utvidet til å omfatte tastelogg, innhenting av PIN-koder, lesing av passord og til og med automatisk opplåsing av skjermen.

Fagfolk peker også på en ny sikring mot fjerning: ClayRat fanger opp trykk, blokkerer brukerkommandoer og bytter dem ut med handlinger som hindrer at telefonen slås av eller at skadevaren avinstalleres. På skjermen kan det dukke opp falske overlegg — for eksempel et vindu for «systemoppdatering» — som skjuler hva som faktisk skjer. Slike knep får brukeren lett til å tvile på egne øyne.

For å spre seg kamuflerer trojaneren seg som populære apper: videoklienter, meldingsapper og lokale taxi- eller parkeringstjenester. Zimperium identifiserte mer enn 25 lokkedomener, blant annet forfalskede versjoner av YouTube Pro og Car Scanner ELM. Angriperne lagrer også APK-filer på Dropbox for å omgå sikkerhetsfiltre. Når kjente merkevarer blandes med legitim skylagring, fremstår opplegget desto mer troverdig.

Når den først er installert, får ClayRat nær full kontroll: den tar opp skjermen via MediaProjection-API-et, fanger opp varsler, endrer svar og kan stjele engangskoder eller blande seg inn i samtaler. Med et slikt fotfeste oppfører selv rutinehandlinger seg ofte ikke helt som forventet — og nettopp den usikkerheten er det som gjør trusselen så nærgående.