ClayRat: el spyware que se hace pasar por tus apps favoritas y se cuela por Telegram

Juanrrison Ford | 14 octubre, 2025 | 0 comentarios

Imagina que un amigo te pasa por Telegram una versión premium de YouTube o una app de Instagram sin publicidad. Te parece tentador, haces clic, instalas el APK y todo parece normal… hasta que tu móvil empieza a comportarse de forma rara. Pues ese es, más o menos, el modus operandi de ClayRat, un spyware para Android que ha sido detectado infectando sobre todo a usuarios en Rusia, pero que podría expandirse fácilmente a otros países, según un informe de Zimperium.

ClayRat no llega desde Google Play ni desde la tienda de Samsung, sino de canales de Telegram y webs falsas que imitan a la perfección las páginas oficiales de apps muy conocidas.

Los atacantes suben APKs que parecen versiones mejoradas de YouTube, TikTok, WhatsApp o Google Photos, con nombres como ‘YouTube Plus’ o ‘TikTok Premium’. Todo está diseñado para parecer legítimo: logos bien copiados, comentarios falsos, reseñas inventadas… y un botón de descarga que en realidad es una trampa.

Cuando instalas la supuesta app, lo que realmente estás metiendo en tu móvil es un dropper, un pequeño instalador que muestra una pantalla falsa (tipo “actualizando desde Google Play”) mientras por debajo descifra y ejecuta el malware real. Este malware tiene un solo propósito: espiarte y controlarte.

Una vez dentro, ClayRat puede hacer prácticamente de todo: leer tus SMS, revisar tu lista de contactos, acceder al registro de llamadas, listar las apps instaladas e incluso activar la cámara frontal para hacer fotos sin que te enteres. También puede mandar mensajes o realizar llamadas desde tu número y enviar enlaces infectados a todos tus contactos para seguir propagándose. Es decir, convierte tu móvil en un pequeño espía con altavoz, cámara y agenda.

Una de las jugadas más ingeniosas (y peligrosas) del malware es pedirte que lo pongas como gestor de SMS por defecto. Android te lanza ese mensaje inocente de “¿Quieres que esta app administre tus mensajes?”, y si aceptas, ClayRat obtiene un pase VIP a todo lo que entra y sale del teléfono. Desde ahí puede interceptar códigos de verificación, leer conversaciones, mandar mensajes automáticos o reenviar su propio enlace malicioso a tus amigos y familiares.

No es una sola rata, es un ‘ratatouille’

Zimperium ha detectado más de 600 muestras diferentes y unos 50 droppers asociados a esta campaña, lo que demuestra que no se trata de un experimento ni de una broma aislada. Detrás hay un grupo que va actualizando y mejorando el malware con cada iteración, puliendo detalles y complicando su detección.

La compañía de seguridad ha informado a Google y a la App Defense Alliance, y Play Protect ya detecta algunas variantes, pero la realidad es que el principal agujero de seguridad sigue siendo el usuario.

Así que la moraleja es sencilla: evitar instalar APKs fuera de Google Play u otras tiendas de Android autorizadas por muy atractiva que parezca la promesa. Desconfía de canales de Telegram que ofrezcan versiones “premium” o “sin anuncios” de apps conocidas y sospecha si una aplicación te pide permisos raros (como gestionar tus SMS o cámara). Si notas comportamientos extraños —mensajes enviados solos, batería drenada, datos que vuelan—, restaura el móvil y cambia tus contraseñas desde otro dispositivo.

Acerca de
Artículos recientes

Juanrrison Ford

Periodista multitarea, multiplataforma y responsive. Peliculero. Más explicante que replicante. Corresponsal de guerra en la App Store y Google Play. Conspira, escribe posts, prepara lasañas de carbonita y hace unicornios de origami sentado en su sillón negro mientras acaricia a su gato. Una vez hizo sonreír a un Angry Bird. @juanrrisonford