Você instala um “WhatsApp turbinado” indicado em um grupo do Telegram, destrava a instalação de fontes desconhecidas e pronto: sem perceber, acaba de entregar seu smartphone a um espião digital. Esse é o roteiro por trás do ClayRat, um spyware que imita apps famosos para tomar o controle do Android. A empresa de segurança Zimperium identificou mais de 600 amostras do código malicioso nos últimos três meses, um sinal de campanha larga escala.
Se você usa o celular para autenticação em duas etapas, gerencia anúncios ou publica nas redes sociais, o risco vai além da privacidade. O malware lê seus SMS antes mesmo de outros aplicativos — o que inclui códigos de verificação bancária, acessos ao Google AdSense e logins da Amazon Afiliados. Além disso, pode acionar a câmera frontal sem aviso, transformando qualquer momento em material de chantagem.
Golpe começa em sites clonados e termina em grupos do Telegram
A estratégia do ClayRat mistura phishing e engenharia social. Tudo começa em páginas muito parecidas com os sites oficiais do WhatsApp, TikTok ou YouTube. Elas exibem o selo da Play Store, avaliações falsas e até números de download plausíveis. Quando o usuário clica em “baixar”, é redirecionado a um canal no Telegram que entrega o APK adulterado.
Para instalar, o próprio site orienta a vítima a desativar o bloqueio do Android para fontes desconhecidas. É a etapa que abre a porteira para o spyware — e para qualquer outro arquivo que o atacante queira enviar depois.
ClayRat funciona como “porta giratória” para mais malwares
Segundo a Zimperium, o ClayRat age como dropper: ele mesmo não realiza toda a espionagem, mas serve de cavalo de Troia para novos módulos. Esses pacotes adicionais vêm de um servidor de comando e controle (C2) e podem executar até 12 instruções diferentes, entre elas:
- Interceptar e alterar mensagens SMS em tempo real.
- Enviar links infectados para toda a lista de contatos, ampliando a disseminação.
- Capturar fotos pela câmera frontal sem acionar a interface do usuário.
- Exfiltrar arquivos sensíveis armazenados no dispositivo.
O resultado é um ciclo de infecção difícil de detectar, já que cada peça do ataque chega em momento separado e pode ser trocada conforme a necessidade do invasor.
Resposta do Google: variantes conhecidas já são bloqueadas
Após o alerta da Zimperium, o Google adicionou as assinaturas conhecidas do ClayRat à lista de ameaças bloqueadas pela Play Protect. Isso significa que o app oficial da Play Store não hospeda nenhuma das amostras identificadas. No entanto, como o golpe se apoia no download externo via Telegram, a defesa nativa do Android perde eficácia caso o usuário bypass o mecanismo de segurança.
Imagem: Internet
Mesmo fora da Rússia, onde a campanha se concentra, o caso serve de lembrete: versões “premium”, “mod” ou “atualizadas” de apps populares distribuídas fora da loja oficial quase sempre escondem riscos proporcionalmente grandes ao suposto benefício.
Além do Ícone Verde: Por que o ClayRat expõe uma falha de confiança que afeta criadores, marcas e usuários comuns
O ClayRat não traz nenhuma novidade tecnológica chocante; a inovação está na forma de distribuição. Ao utilizar sites clonados e canais de Telegram, os atacantes colocam o usuário no centro da cadeia de infecção, fazendo com que ele mesmo desative as proteções mais básicas do Android. Esse modelo dribla a Play Store e, na prática, terceiriza o problema de segurança para quem menos entende do assunto.
Para criadores de conteúdo e profissionais de marketing, o impacto é dobrado. Primeiro, porque o roubo de SMS pode minar contas de anúncios, redes sociais e e-mails corporativos – justamente os ativos que geram receita. Segundo, porque, ao se propagar pela lista de contatos, o spyware atinge clientes, parceiros e audiência, criando um efeito dominó de perda de confiança.
O episódio também expõe um ponto cego do ecossistema Android: a dependência de side-loading quando apps são banidos, modificados ou distribuídos em regiões sem Play Store. Enquanto criadores buscam APKs alternativos para testar recursos ou rodar versões beta, aumentam a superfície de ataque. A resposta de longo prazo pode envolver métodos de assinatura digital mais robustos, verificação automática de APKs em mensageiros e, principalmente, educação contínua sobre os riscos de abrir mão de instalações só pela loja oficial.
Em síntese, o ClayRat é menos sobre um spyware específico e mais sobre a fragilidade da cadeia de confiança de aplicativos. E enquanto essa cadeia não for reforçada, ícones conhecidos continuarão sendo a camuflagem perfeita para ameaças invisíveis.
