Latest:
Malware para Android ClayRat imita WhatsApp TikTok YouTube, espionagem via SMS e notificações
NoticiasTecnologia

spyware para Android ClayRat imita WhatsApp, TikTok e YouTube

Diogo Fernando , 8 min Leitura
PUBLICIDADE

Pesquisadores da Zimperium descobriram uma campanha de spyware para Android que se disfarça de apps populares como WhatsApp, TikTok, YouTube e até Google Fotos. Batizada de ClayRat, a operação explora phishing, APKs de terceiros e canais no Telegram para enganar usuários — com foco inicial em alvos russos, mas com risco de expansão. O Malware para Android consegue interceptar SMS, acessar histórico de chamadas e notificações, tirar fotos com a câmera frontal e até fazer ligações telefônicas. Em três meses, foram observados 600+ casos distribuídos por mais de 50 droppers diferentes. O Google Play Protectbloqueia as variantes conhecidas, mas a recomendação é redobrar a cautela e evitar instalações fora da Play Store.

Como o golpe imita apps populares e engana a vítima

Os operadores do ClayRat registram domínios maliciosos que copiam o visual de serviços legítimos para conduzir a vítima até canais de Telegram ou páginas de download. Esses sites replicam a interface da Play Store, exibem comentários falsos e números de download inflados, além de fornecer um “passo a passo” para instalar APKs de terceiros e burlar proteções do Android. Parte dos arquivos serve como dropper: o aplicativo falso simula uma tela de atualização e entrega um payload encriptado ao dispositivo.

Para parecer legítimo, a campanha usa uma instalação baseada em sessão que contorna as restrições do Android 13+ e reduz a desconfiança. Depois de instalado, o app malicioso tenta se tornar o aplicativo padrão de SMS, o que permite ler e interceptar mensagens antes de outros apps, além de alterar a base de dados de SMS. A comunicação com o servidor de comando e controle (C2) é criptografada com AES-GCM nas versões mais recentes.

PUBLICIDADE

O que o ClayRat consegue fazer no seu Android

  • get_apps_list — envia ao C2 a lista de apps instalados.
  • get_calls — exfiltra o histórico de chamadas.
  • get_camera — tira foto com a câmera frontal e envia ao servidor.
  • get_sms_list — extrai mensagens de SMS.
  • messsms — dispara SMS em massa para contatos salvos.
  • send_sms / make_call — envia SMS e realiza ligações.
  • notifications / get_push_notifications — captura notificações e dados de push.
  • get_device_info — coleta informações do dispositivo.
  • get_proxy_data — obtém um proxy de URL WebSocket, adiciona ID do dispositivo e converte HTTP/HTTPS para WebSocket para agendar tarefas.
  • retransmishion — reencaminha SMS para números definidos pelo C2.

Segundo o relatório da Zimperium, o ClayRat combina engenharia social, redes de Telegram e APKs de terceiros para aumentar taxas de infecção e se manter persistente.

Zimperium — análise técnica do ClayRat

Alvos, escala e evolução da campanha

A investigação aponta usuários na Rússia como os principais alvos no momento, mas a técnica de phishing multilíngue e os domínios parecidos com serviços globais permitem expansão a outros países. Em apenas três meses, a Zimperium observou mais de 600 incidentes associados a 50+ famílias de droppers, sinal de operação ativa e em franca evolução. Como parte da disseminação, o malware abusa do SMS para espalhar links a contatos da própria vítima, transformando cada dispositivo comprometido em vetor adicional de ataque.

Resposta do Google e status do Play Protect

A Zimperium compartilhou os Indicadores de Comprometimento (IOCs) e detalhes técnicos com o Google. Em resposta, o Play Protect passou a bloquear todas as variantes conhecidas do ClayRat. Ainda assim, novas versões podem surgir, razão pela qual a recomendação continua sendo evitar APKs de terceiros e instalar apenas via Play Store. Para organizações, é recomendável monitorar IOCs e aplicar políticas de Mobile Threat Defense.

Como se proteger: boas práticas essenciais

  1. Instale apps só pela Play Store: evite APKs de terceiros e páginas que imitam a loja.
  2. Mantenha o Android atualizado: correções de segurança reduzem superfícies de ataque.
  3. Ative e verifique o Play Protect: escaneie periodicamente e desconfie de alertas.
  4. Desconfie de links no SMS e Telegram: especialmente os que prometem “versões premium”.
  5. Revise permissões: desinstale apps que pedem acesso a SMS, chamadas e câmera sem necessidade.
  6. Cheque o app padrão de SMS: se mudou sozinho, investigue imediatamente.
  7. Habilite 2FA: prefira authenticator a SMS quando possível.
  8. Use solução antivírus/Mobile Threat Defense: especialmente em ambientes corporativos.

Indicadores de comprometimento (IOCs)

A Zimperium publicou IOCs (hosts, domínios e hashes) úteis para detecção e bloqueio em redes. Consulte a lista oficial para manter filtros e assinaturas atualizados.

Ver IOCs no GitHub da Zimperium

Sinais de infecção e como agir

Alguns sinais de alerta incluem: consumo anormal de dados, SMS enviados sem seu conhecimento, ligações não reconhecidas, notificações sumindo ou aparecendo duplicadas e câmera acionada sem motivo. Se suspeitar de infecção, desative a internet (Wi-Fi e dados), remova o app suspeito, reinstale o app oficial via Play Store e altere senhas. Em casos persistentes, faça backup dos dados e execute uma restauração de fábrica (e configure o aparelho do zero, evitando restaurar apps desconhecidos).

CapacidadePermissão/Risco
Interceptar SMSAcesso como app padrão de mensagens
Tirar foto frontalPermissão de câmera e execução em segundo plano
Fazer ligaçõesPermissão de chamadas e abuso de engenharia social
Coletar notificaçõesAcesso ao serviço de notificações

Evite APKs de terceiros e desconfie de sites que imitam a Play Store. O Play Protect bloqueia variantes conhecidas do ClayRat, mas a prevenção ainda é a sua melhor defesa.

Perguntas Frequentes sobre Malware para Android

  1. O que é o spyware ClayRat no Android?

    Resposta direta: spyware que imita apps populares. Expansão: ClayRat é uma campanha de malware móvel que usa phishing, droppers e APKs de terceiros para se passar por WhatsApp, TikTok, YouTube e Google Fotos, coletando SMS, chamadas e notificações. Validação: detalhado por relatório técnico da Zimperium e bloqueado pelo Play Protect nas variantes conhecidas.

  2. Como o ClayRat se instala e burla o Android 13?

    Resposta direta: usa instalação baseada em sessão. Expansão: os operadores guiam o usuário a sites falsos e canais do Telegram, onde um dropper entrega um payload encriptado e solicita ser app padrão de SMS, contornando restrições do Android 13+. Validação: Zimperium descreve o uso de AES-GCM no C2 e técnicas para reduzir a desconfiança do usuário.

  3. Quais sinais indicam que fui infectado?

    Resposta direta: SMS e ligações sem seu consentimento. Expansão: observe consumo de dados fora do normal, notificações estranhas, câmera frontal acionada e alterações no app padrão de SMS. Validação: comportamento consistente com as capacidades listadas (get_sms_list, make_call, notifications) no relatório da Zimperium.

  4. O Play Protect me protege do ClayRat?

    Resposta direta: sim, contra variantes conhecidas. Expansão: o Google já bloqueia as amostras reportadas, mas novas versões podem surgir; instale apenas via Play Store e mantenha o sistema atualizado. Validação: confirmação pública de bloqueio após recebimento dos IOCs pela Zimperium.

  5. Devo instalar APKs de terceiros no Android?

    Resposta direta: evite sempre que possível. Expansão: a cadeia do ClayRat depende de APKs externos e instruções para burlar proteções; isso amplia o risco de spyware e trojans bancários. Validação: recomendações de segurança móvel e diretrizes do Google priorizam instalações via Play Store e Play Protect.

Considerações finais

O ClayRat reforça que engenharia social e APKs de terceiros seguem sendo o elo fraco na segurança móvel. Mesmo com o Play Protect bloqueando variantes conhecidas, a defesa mais eficaz continua sendo instalar apps só pela Play Store, manter o sistema atualizado e desconfiar de ofertas recebidas por SMS e Telegram. Para gestores de segurança, vale acompanhar os IOCs publicados e fortalecer políticas de Mobile Threat Defense para impedir novas infecções.

Diogo Fernando

Apaixonado por tecnologia e cultura pop, programo para resolver problemas e transformar vidas. Empreendedor e geek, busco novas ideias e desafios. Acredito na tecnologia como superpoder do século XXI.

Você pode gostar também

A woman with digital code projections on her face, representing technology and future concepts.

Inteligência artificial já impulsiona 44% das pequenas empresas

Diogo Fernando
Pix novas regras para devolução de golpes: novas regras do Banco Central, contestação pelo app e rastreamento de recursos entre bancos

Pix fora do ar: pane atinge bancos nesta Segunda-feita 29 de set 2025

Diogo Fernando
Anúncio da Anthropic destaca atualização dos modelos Claude para encerrar conversas tóxicas e proteger a IA

Anthropic Claude poderá encerrar conversas nocivas: entenda novidade

Diogo Fernando
0 0 votos
Classificação do artigo
Inscrever-se
Notificar de
guest

0 Comentários
mais antigos
mais recentes Mais votado
Feedbacks embutidos
Ver todos os comentários
0
Adoraria saber sua opinião, comente.x