Inhaltsverzeichnis
Android-Malware ClayRat – Verbreitung setzt sich fort
ClayRat ist eine neue Spionage-Malware für Android, die sich rasant ausbreitet und dabei vor allem auf Vertrauen setzt. Infizierte Geräte versenden automatisch Schadlinks an gespeicherte Kontakte. Die Täter tarnen ihre Apps als bekannte Anwendungen wie WhatsApp oder TikTok und locken zum Download über täuschend echte Websites und Telegram-Kanäle. Forschende berichten von vielen Varianten in kurzer Zeit – ein Hinweis auf eine dynamische Kampagne. In diesem Beitrag erfahren Sie, wie ClayRat funktioniert, wie die Verbreitung gelingt, welche Daten in Gefahr sind und wie Sie sich mit einfachen Maßnahmen schützen.
Was ist ClayRat?
ClayRat ist eine Form von „Spyware“, also Schadsoftware, die Ihre Aktivitäten ausspäht und Daten stiehlt. Der Name leitet sich von der Infrastruktur der Angreifer ab, die über sogenannte C2-Server Befehle an infizierte Geräte senden. Die Täter tarnen ihre Apps als populäre Dienste wie WhatsApp, TikTok, YouTube oder Google Fotos, sodass Sie auf den ersten Blick nichts Verdächtiges sehen. Häufig landen Betroffene nicht im offiziellen Play Store, sondern auf nachgemachten Download-Seiten, die echte Marken imitieren. Dort wird eine APK-Datei, das Installationspaket für Android, angeboten. Laden Sie diese außerhalb des Play Stores, fehlt ein Großteil der Prüfungen, die Sie sonst schützen.
Sicherheitsteams dokumentieren inzwischen hunderte Varianten innerhalb weniger Monate – ein klares Signal, dass die Kampagne aktiv weiterentwickelt wird.
Wie sich ClayRat verbreitet: Vertrauen, Kontakte und täuschend echte Seiten
Die Verbreitung beruht auf zwei Mechanismen: erstens auf Phishing, also Täuschung durch echt wirkende Websites und Kanäle, und zweitens auf dem Missbrauch Ihres Adressbuchs. Der typische Ablauf: Sie klicken auf einen Link in einer Nachricht oder folgen einer Empfehlung in einem Telegram-Kanal. Die Seite zeigt Logos, gefälschte Bewertungen und Download-Zahlen, sodass die App seriös wirkt. Nach der Installation erschleicht sich ClayRat die Rolle als Standard-SMS-App. Diese Systemrolle, die für den Versand und Empfang von SMS zuständig ist, ermöglicht es der Malware, Nachrichten zu lesen, zu senden und abzufangen. Anschließend verschickt die Schadsoftware automatisiert SMS mit einem schädlichen Link an alle Ihre Kontakte.
Weil die Nachrichten von Ihrer echten Nummer kommen, vertrauen Freunde, Familie und Kolleginnen und Kollegen dem Inhalt eher – die Kampagne wächst dadurch exponentiell und benötigt wenig zusätzliche Infrastruktur der Täter.
Welche Daten stehen auf dem Spiel – und welche Tricks nutzt die Malware?
Sobald ClayRat aktiv ist, erlangen die Angreifer weite Einblicke in Ihr Gerät. Berichtet werden Zugriffe auf SMS, Anruflisten, Kontakte, Systembenachrichtigungen und Gerätestatus. In einigen Varianten kann ClayRat sogar Selfies auslösen, Anrufe tätigen oder neue Nachrichten verschicken.
Technisch nutzt die Malware mehrere Tarnmethoden, zum Beispiel Droppers: harmlose Installations-Apps, die im Hintergrund die eigentliche Spionagekomponente nachladen, während ein gefälschter „Play-Store-Update“-Bildschirm angezeigt wird. Zudem setzen die Täter auf Verschleierung des Codes, also Techniken, die die Analyse erschweren und Antivirensoftware ausbremsen sollen.
Besonders heikel ist der Missbrauch der SMS-Handler-Rolle, weil die Malware dadurch ohne weitere Rückfragen an sensible Informationen kommt, darunter auch Einmalcodes für Zwei-Faktor-Anmeldungen.
Es geht nicht um Werbung oder lästige Pop-ups – es geht um echte Übernahme- und Ausspähfunktionen.
Ökosystem, Zielregionen und Ausblick
Aktuell beobachten Forschende eine starke Aktivität in Russland, doch die Taktik ist universell: populäre Marken vortäuschen, Nutzerinnen und Nutzer auf Drittseiten leiten, dann über Kontaktlisten viral verbreiten. In nur drei Monaten wurden mehr als 600 unterschiedliche Proben und über 50 verschiedene Droppers festgestellt – ein Indikator für professionelle Akteure, die kontinuierlich neue Versionen veröffentlichen, um Erkennung zu umgehen. Experten erwarten deshalb, dass die Kampagne geografisch expandiert und auch in anderen Ländern auftaucht.
Entscheidend ist, dass Sideloading, also das Installieren außerhalb des Play Stores, weiterhin verbreitet ist und viele Nutzer Berechtigungen zu großzügig erteilen. Diese Kombination aus Social Engineering, technischen Systemrollen und schneller Weiterentwicklung spricht dafür, dass ClayRat nicht kurzfristig verschwindet, sondern sich an Gegenmaßnahmen anpasst.
So schützen Sie sich konkret – verständlich und alltagstauglich
Sie senken Ihr Risiko spürbar, wenn Sie fünf Grundregeln beachten. Erstens: Nur aus vertrauenswürdigen Quellen installieren, idealerweise aus dem Google Play Store. Zweitens: Links in Nachrichten misstrauen, selbst wenn sie von bekannten Kontakten kommen; fragen Sie im Zweifel nach, ob die Nachricht wirklich von der Person stammt. Drittens: Berechtigungen prüfen und kritisch sein, wenn eine App die SMS-Funktion übernehmen will oder Zugriffe verlangt, die nicht zum Zweck der App passen. Viertens: Play Protect aktiv lassen und Warnungen ernst nehmen. Fünftens: Regelmäßig aktualisieren, damit Sicherheitslücken geschlossen werden. Wenn Sie versehentlich eine APK von außerhalb installiert haben, deinstallieren Sie sie umgehend, setzen Sie die Standard-SMS-App wieder auf die originale zurück und ändern Sie wichtige Passwörter, vor allem dort, wo SMS-Codes genutzt werden.
Warum aktuelle Antivirensoftware auf Android immer wichtiger wird
Google schützt im Play Store bereits vieles automatisch. Doch ClayRat zeigt, dass Angriffe außerhalb des Stores stattfinden und neue Varianten schnell entstehen. Eine aktuelle Antivirensoftware ergänzt die eingebauten Schutzmechanismen, indem sie verdächtiges Verhalten erkennt, bekannte bösartige Websites blockiert, SMS-Links prüft und Sie warnt, wenn eine App sich riskante Systemrollen sichern will. Moderne Lösungen arbeiten signaturbasiert und verhaltensbasiert: Sie reagieren also nicht nur auf bekannte Muster, sondern auch auf ungewöhnliche Aktivitäten wie massenhaft versendete SMS oder versteckte Nachladeversuche durch Droppers.
Wichtig ist, dass die App regelmäßig Updates erhält und dass Sie Schutzfunktionen wie Web-Filter und SMS-Prüfung einschalten. In einer Lage, in der binnen Wochen hunderte Varianten auftauchen, erhöht eine gute Mobile-Security-App Ihre Chancen, eine Infektion früh zu stoppen – besonders, wenn Sideloading oder Messaging-Links Teil Ihres Alltags sind.