https://pepelac.news/ro/posts/id15200-clayrat-malware-android-cu-control-extins-si-persistenta

ClayRat: malware Android cu control extins și persistență

ClayRat devine un malware Android avansat: control extins, persistență și anti-înlăturare

ClayRat: malware Android cu control extins și persistență

Zimperium dezvăluie noul ClayRat: malware Android ce folosește accesibilitatea pentru control extins, blocarea ștergerii și furt de PIN-uri și coduri OTP.

2025-12-10T17:22:41+03:00

Cercetătorii de la Zimperium anunță o versiune nouă, mai sofisticată, a malware-ului pentru Android ClayRat. Dacă până nu demult era un simplu hoț de informații care colecta SMS-uri și jurnale de apeluri, acum s-a transformat într-un instrument de supraveghere polivalent, cu acces mai profund la sistem și cu mecanisme interne de autoapărare împotriva eliminării. Schimbarea marchează o escaladare îngrijorătoare și ridică miza pentru utilizatorii de zi cu zi. Evoluția nu pare întâmplătoare; accentul cade clar pe persistență și control.Primele variante, observate în toamna lui 2024, erau relativ limitate. Acum, ClayRat exploatează serviciile de accesibilitate din Android, permițând atacatorilor să manevreze interfața dispozitivului aproape fără restricții. Arsenalul a fost extins cu înregistrarea tastelor, capturarea PIN-urilor, citirea parolelor și chiar deblocarea automată a ecranului.Specialiștii semnalează și o nouă măsură anti-înlăturare: ClayRat interceptează atingerile, blochează comenzile utilizatorului și le substituie pentru a împiedica oprirea telefonului sau dezinstalarea malware-ului. Pe ecran pot apărea suprapuneri false — de pildă o fereastră de „actualizare de sistem” — care maschează acțiunile reale. Un astfel de artificiu poate să-i facă pe utilizatori să se îndoiască de ceea ce văd.Pentru a se răspândi, troianul se deghizează în aplicații populare: clienți pentru servicii video, mesagerii și servicii locale de taxi sau parcare. Zimperium a identificat peste 25 de domenii-capcană, inclusiv versiuni contrafăcute de YouTube Pro și Car Scanner ELM. Atacatorii găzduiesc și fișiere APK pe Dropbox, ocolind filtrele de securitate. Sprijinul pe branduri familiare și pe stocarea în cloud legitimă face înșelătoria mai convingătoare.După instalare, ClayRat capătă aproape control complet: înregistrează ecranul prin API-ul MediaProjection, interceptează notificările, modifică răspunsurile și poate fura coduri de unică folosință sau interveni în conversații. Cu un astfel de punct de sprijin, până și gesturile obișnuite pot să nu se comporte așa cum te-ai aștepta.

malware Android, ClayRat, Zimperium, troian Android, accesibilitate, keylogger, furt PIN, coduri OTP, suprapuneri false, anti-înlăturare, MediaProjection, interceptare notificări, aplicații false

2025

Danny Weber

news

ClayRat devine un malware Android avansat: control extins, persistență și anti-înlăturare

Zimperium dezvăluie noul ClayRat: malware Android ce folosește accesibilitatea pentru control extins, blocarea ștergerii și furt de PIN-uri și coduri OTP.

Danny Weber, Editor

17:22 10-12-2025

Primele variante, observate în toamna lui 2024, erau relativ limitate. Acum, ClayRat exploatează serviciile de accesibilitate din Android, permițând atacatorilor să manevreze interfața dispozitivului aproape fără restricții. Arsenalul a fost extins cu înregistrarea tastelor, capturarea PIN-urilor, citirea parolelor și chiar deblocarea automată a ecranului.

Specialiștii semnalează și o nouă măsură anti-înlăturare: ClayRat interceptează atingerile, blochează comenzile utilizatorului și le substituie pentru a împiedica oprirea telefonului sau dezinstalarea malware-ului. Pe ecran pot apărea suprapuneri false — de pildă o fereastră de „actualizare de sistem” — care maschează acțiunile reale. Un astfel de artificiu poate să-i facă pe utilizatori să se îndoiască de ceea ce văd.

Pentru a se răspândi, troianul se deghizează în aplicații populare: clienți pentru servicii video, mesagerii și servicii locale de taxi sau parcare. Zimperium a identificat peste 25 de domenii-capcană, inclusiv versiuni contrafăcute de YouTube Pro și Car Scanner ELM. Atacatorii găzduiesc și fișiere APK pe Dropbox, ocolind filtrele de securitate. Sprijinul pe branduri familiare și pe stocarea în cloud legitimă face înșelătoria mai convingătoare.

După instalare, ClayRat capătă aproape control complet: înregistrează ecranul prin API-ul MediaProjection, interceptează notificările, modifică răspunsurile și poate fura coduri de unică folosință sau interveni în conversații. Cu un astfel de punct de sprijin, până și gesturile obișnuite pot să nu se comporte așa cum te-ai aștepta.