ClayRat-Spyware schaltet Google-Schutz automatisch aus

Eine hochentwickelte Android-Spyware namens „ClayRat” hat eine gefährliche Weiterentwicklung durchgemacht: Sie kann nun automatisch den Google Play Protect deaktivieren und sich rasant per SMS verbreiten. Das geht aus einem am Donnerstag veröffentlichten Bericht des Sicherheitsunternehmens Zimperium hervor. Die Entwicklung markiert eine deutliche Eskalation in der mobilen Bedrohungslandschaft.

Barrierefreiheit als Einfallstor

Die alarmierendste Neuerung: ClayRat missbraucht die Bedienungshilfen von Android. Diese eigentlich für Menschen mit Behinderungen gedachte Funktion verwandelt die Schadsoftware in eine Waffe gegen die Gerätesicherheit.

Sobald ein Opfer der Malware entsprechende Berechtigungen erteilt – häufig getarnt als harmlose App-Aktualisierung – führt ClayRat eine vorprogrammierte Abfolge automatischer Bildschirm-Klicks aus. Diese navigieren durch das Einstellungsmenü und deaktivieren manuell den Google Play Protect, das native Abwehrsystem des Betriebssystems. Mit dieser „Auto-Clicker”-Technik kann die Spyware unerkannt auf dem Gerät verbleiben, ohne von Googles Sicherheitschecks entfernt zu werden.

Passend zum Thema Android-Sicherheit: Viele Android-Nutzer übersehen grundlegende Einstellungen – besonders die Kontrolle von Bedienungshilfen und SMS-Berechtigungen. Unser kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Ihr Android-Smartphone mit leicht verständlichen Schritt-für-Schritt-Anleitungen. Sie lernen, wie Sie Apps sicher installieren, Berechtigungen prüfen, automatische Updates aktivieren und Phishing-Links in SMS oder Telegram erkennen. Schützen Sie Ihre Daten und Kontakte jetzt. Jetzt kostenloses Android-Schutzpaket herunterladen

„ClayRat stellt nicht nur wegen seiner umfassenden Überwachungsfähigkeiten eine ernste Bedrohung dar, sondern auch durch den Missbrauch der Standard-SMS-Handler-Rolle von Android”, erklärten die Zimperium-Forscher in ihrer Analyse. Das Immunsystem des Geräts wird praktisch geblendet – der Nutzer bleibt schutzlos einer dauerhaften Datenextraktion ausgesetzt.

Wurm-Taktik: Freunde infizieren Freunde

Anders als typische Spyware verlässt sich ClayRat nicht auf passive Infektionswege. Die Malware fordert die Rolle als Standard-SMS-Handler an – eine Berechtigung, mit der sie Textnachrichten ohne Wissen des Nutzers abfangen und versenden kann.

Ist sie erst einmal installiert, durchsucht ClayRat die Kontaktliste und verschickt massenhaft bösartige Links an Freunde, Familie und Kollegen. Die Nachrichten nutzen Social-Engineering-Methoden, etwa den russischen Satz „Узнай первым!” („Sei der Erste, der es erfährt!”), gefolgt von einem Link zu einer Phishing-Seite. Da die Nachrichten vom Smartphone eines bekannten Kontakts stammen, ist die Wahrscheinlichkeit hoch, dass Empfänger den Link öffnen – ein Teufelskreis entsteht.

Jedes infizierte Gerät wird faktisch zum Knotenpunkt in einem wachsenden Botnetz. Die exponenzielle Verbreitung läuft ohne aufwendige Spam-Infrastruktur der Angreifer.

Über 700 Varianten im Umlauf

Das Ausmaß der ClayRat-Kampagne wächst besorgniserregend schnell. Zimperiums zLabs identifizierte über 700 einzigartige APK-Versionen der Malware – ein deutlicher Anstieg gegenüber früheren Erkennungen. Die Betreiber setzen auf „polymorphe” Techniken: Sie verändern den Code ständig, um signaturbasierte Erkennungssysteme auszutricksen.

Verbreitet wird die Schadsoftware hauptsächlich über Telegram-Kanäle und ausgeklügelte Phishing-Websites, die beliebte Apps imitieren. ClayRat tarnt sich als legitime Versionen von WhatsApp, YouTube, TikTok und Google Fotos. Manchmal kommt eine „Dropper”-Technik zum Einsatz: Eine scheinbar harmlose App wird installiert, die dann eine mit AES verschlüsselte Schadsoftware entschlüsselt und lädt.

Diese rasante Weiterentwicklung deutet auf ein gut finanziertes Entwicklerteam hin, das entschlossen ist, die Wirksamkeit der Spyware gegen verbesserte Sicherheitsmaßnahmen aufrechtzuerhalten.

Was bedeutet das für europäische Nutzer?

Die Entwicklung von ClayRat spiegelt einen breiteren Trend wider: Mobile Malware zielt nicht mehr nur auf Datendiebstahl ab, sondern auf die vollständige Geräteübernahme. Indem die Schadsoftware die Sicherheitsinfrastruktur selbst angreift, erreicht sie ein Komplexitätsniveau, das bisher staatlich geförderten Überwachungstools vorbehalten war.

Zwar konzentriert sich die Kampagne stark auf Ziele in Russland, doch Experten warnen: Die Taktiken sind geografisch übertragbar. Die genutzte Infrastruktur – Telegram und generische Phishing-Vorlagen – lässt sich problemlos für globale Angriffe adaptieren.

„Das schiere Ausmaß dieser Kampagne zeigt, wie schnell sich die mobile Bedrohungslandschaft verändert”, so Zimperium. Die Nutzung legitimer Cloud-Dienste wie Dropbox zum Hosten der Schadsoftware erschwert die Abwehr zusätzlich – Netzwerkverteidiger können nicht einfach allen Traffic zu bekannten Malware-Domains blockieren.

Wachsamkeit bleibt wichtigste Verteidigung

Sicherheitsanalysten erwarten, dass ClayRats Entwickler ihre Verschleierungstechniken weiter verfeinern werden. Sollte Google Android aktualisieren, um den Missbrauch von Bedienungshilfen einzuschränken, dürften die Malware-Autoren auf neue Methoden zur Rechteausweitung ausweichen.

Vorerst bleibt Nutzerwachsamkeit die wichtigste Verteidigung. Experten raten Android-Nutzern dringend, Apps ausschließlich über den Google Play Store zu installieren und extrem skeptisch zu sein, wenn Apps Zugriff auf Bedienungshilfen oder die Standard-SMS-Handler-Rolle fordern. Gerade jetzt zur Vorweihnachtszeit – einer Hochphase digitaler Kommunikation – ist das Risiko SMS-basierter Verbreitung besonders hoch.

PS: Diese 5 Maßnahmen machen Ihr Android spürbar sicherer. Der Gratis-Ratgeber zeigt praxisnah, wie Sie infizierte Apps erkennen, Google Play Protect richtig nutzen, Bedienungshilfen sicher konfigurieren und massenhaften SMS‑Versand verhindern. Enthalten ist eine praktische Checkliste, mit der Sie Ihr Gerät sofort schützen können. Ideal für alle, die viel per WhatsApp oder Telegram kommunizieren. Gratis-Ratgeber mit 5 Schutzmaßnahmen anfordern