Spyware ClayRat evolui: ameaça que imita WhatsApp já assume controle total de celulares

O spyware ClayRat, identificado por especialistas em segurança da Zimperium no mês de outubro, ganhou uma atualização que eleva seu nível de periculosidade. A versão recente não apenas se disfarça de aplicativos populares — como WhatsApp, Google Fotos e TikTok —, como também consegue assumir o controle integral do dispositivo, gravar a tela e exfiltrar informações sensíveis, tudo isso ao mesmo tempo em que dificulta a detecção por antivírus convencionais.

A trajetória do spyware ClayRat desde a descoberta

Quando os pesquisadores localizaram o spyware ClayRat pela primeira vez, há poucos meses, o código malicioso já chamava atenção pelo artifício de se mascarar como um mensageiro amplamente utilizado. De lá para cá, o programa foi refinado. Segundo o relatório da Zimperium, o desenvolvimento ocorre em ciclos rápidos, o que explica a existência de mais de 700 variantes catalogadas. Esse número, aliado à detecção de pelo menos 25 domínios usados em campanhas de phishing, sustenta a avaliação de que o ClayRat se encontra em franca expansão.

A estratégia de evolução contínua dificulta o trabalho de ferramentas automatizadas de defesa. A cada nova versão, assinaturas digitais, rotinas de comunicação e nomes de pacotes podem ser ligeiramente modificados. Desse modo, listas de bloqueio ficam obsoletas em questão de dias, permitindo que novas compilações cheguem aos aparelhos antes que atualizações de segurança sejam emitidas.

Como o spyware ClayRat engana o usuário para obter privilégios

O vetor inicial de infecção baseia-se em engenharia social. Grupos responsáveis pelo spyware ClayRat criam páginas que imitam a Play Store, oferecendo supostas atualizações de aplicativos consagrados. Quando a vítima baixa o arquivo, o instalador solicita a definição do aplicativo falso como gestor padrão de SMS. Em seguida, orienta o usuário a ativar o Serviço de Acessibilidade do Android.

Esse segundo passo é crucial. A funcionalidade de acessibilidade foi projetada para auxiliar pessoas com dificuldades motoras ou visuais, mas, uma vez ativada pelo malware, concede capacidade de leitura de tela, execução de toques simulados e até navegação por menus sem intervenção humana. Na prática, o ClayRat passa a agir como um operador invisível, capaz de abrir configurações, conceder permissões adicionais e desativar eventuais proteções.

Principais capacidades de controle e exfiltração de dados

A partir do momento em que obtém acesso irrestrito, o spyware ClayRat inicia a coleta silenciosa de informações. Entre os alvos confirmados encontram-se registros de chamadas telefônicas, mensagens SMS completas e fotos capturadas em tempo real pela câmera do dispositivo. O software também grava a tela, recurso que permite descobrir PINs de desbloqueio, senhas de aplicativos bancários e demais credenciais digitadas pela vítima.

O risco vai além da espionagem passiva. O malware envia notificações e pop-ups falsos que replicam alertas legítimos do sistema operacional. Esse artifício confunde o usuário e facilita a obtenção de autorizações adicionais sem despertar suspeitas. Durante todo o processo, os dados coletados são comprimidos e encaminhados a servidores controlados pelos atacantes, utilizando canais aparentemente legítimos para evitar bloqueios, entre eles serviços populares de hospedagem em nuvem.

Expansão rápida do spyware ClayRat e seus vetores de distribuição

A disseminação do ClayRat acontece majoritariamente por meio de campanhas de phishing que exploram mídias sociais, grupos de mensagens e anúncios patrocinados. Pesquisadores identificaram mais de 25 domínios criados especificamente para hospedar cópias do spyware, alguns deles configurados para redirecionar a vítima a plataformas conhecidas, como o DropBox, de onde o arquivo malicioso é baixado.

Outro ponto que acelera a propagação é a prática do “Bring Your Own Device” (BYOD) nas empresas, na qual funcionários utilizam seus smartphones pessoais para fins corporativos. Caso um colaborador instale a versão falsa do aplicativo e seja infectado, credenciais de acesso ao e-mail, documentos internos e até sistemas críticos podem ser capturadas sem que o departamento de TI perceba. Esse cenário explica por que a Zimperium classifica a ameaça como de alto risco para o ambiente empresarial.

Riscos corporativos provocados pelo spyware ClayRat

No âmbito organizacional, a combinação entre mobilidade e permissões amplas concedidas ao spyware ClayRat facilita o movimento lateral de atacantes. Informações de login armazenadas em aplicativos de produtividade, mensagens confidenciais trocadas por executivos e arquivos mantidos em sistemas de nuvem corporativa viram alvo imediato. Além do impacto direto, existe o risco de o celular comprometido servir como ponte para novos ataques, enviando arquivos infectados ou links maliciosos a outros colaboradores.

O problema se agrava quando a conexão do aparelho contaminado ocorre fora da rede monitorada pela empresa. Sem visibilidade sobre o tráfego, ferramental de segurança tradicional, como firewalls internos, não enxerga as comunicações com servidores de comando e controle. Assim, o atacante mantém acesso prolongado aos dados corporativos, muitas vezes por semanas, até que o vazamento venha à tona por outras fontes.

Boas práticas para escapar do spyware ClayRat

A recomendação mais direta dos especialistas é restringir instalações a lojas oficiais, em especial a Play Store. Ainda que campanhas maliciosas ocasionalmente consigam contornar filtros, a verificação interna reduz a probabilidade de aplicativos comprometidos chegarem à listagem principal. Além disso, evitar clicar em links enviados por e-mail ou redes sociais que prometem atualizações fora de ciclo é fundamental.

Outra medida é negar solicitações de ativação do Serviço de Acessibilidade quando o aplicativo não apresenta justificativa coerente. Mensageiros legítimos, por exemplo, não requerem controle de leitura de tela para funcionar. Manter o sistema operacional e soluções de segurança atualizadas complementa a defesa, pois as correções de vulnerabilidades e novas assinaturas de detecção fecham brechas exploradas em compilações anteriores do ClayRat.

Com a identificação de mais de 700 variantes circulando e campanhas de phishing ativas em, no mínimo, 25 domínios, pesquisadores da Zimperium alertam que a evolução do spyware ClayRat segue em curso, exigindo atenção contínua de usuários domésticos e departamentos de TI.