Una nueva amenaza digital está circulando entre los usuarios de Android. Se trata de ClayRat, una campaña de malware que se disfraza de aplicaciones legítimas como WhatsApp Plus, TikTok o YouTube para engañar a los usuarios e infiltrarse en sus dispositivos. Una vez instalada, esta versión falsa activa un software espía capaz de robar información, acceder a la cámara frontal y replicarse mediante mensajes de texto.

El ataque, detectado por investigadores de Zimperium y reportado por Bleeping Computer, combina varias tácticas de manipulación para conseguir que las víctimas descarguen archivos maliciosos. Los delincuentes aprovechan la confianza en las marcas más populares y la curiosidad de los usuarios por versiones “premium” o “mejoradas” de las aplicaciones.

Aunque, por ahora, los reportes indican que la campaña está activa principalmente en Rusia, los expertos alertan que el método podría expandirse rápidamente a otros países. La estrategia demuestra cómo los atacantes siguen perfeccionando la ingeniería social para eludir las medidas de seguridad de Android y engañar a las personas más desprevenidas.

ClayRat utiliza canales de Telegram y páginas falsas que imitan el diseño de los sitios oficiales de las aplicaciones más descargadas. Desde allí, los usuarios son invitados a instalar supuestas actualizaciones o versiones exclusivas mediante archivos APK, el formato que permite instalar apps fuera de Google Play.

Una vez que la víctima hace clic en el enlace, es redirigida a un canal de Telegram desde donde se descarga el archivo infectado. Para ganarse la confianza del usuario, el malware muestra una pantalla falsa de actualización de Google Play, lo que hace creer que se trata de una instalación legítima.

Este tipo de engaño aprovecha la desactivación del sistema de seguridad de Android que impide, por defecto, la instalación de apps de fuentes desconocidas. Al aceptar manualmente esta opción, el usuario sin saberlo abre la puerta al spyware.

Tras lograr la instalación, ClayRat solicita una serie de permisos críticos. Uno de los más peligrosos es el de convertirse en la aplicación predeterminada para SMS, lo que le permite leer y enviar mensajes sin autorización. Además, puede acceder a los contactos, al registro de llamadas y a las notificaciones del dispositivo.

De acuerdo con el informe de Zimperium, el malware también puede tomar fotos con la cámara frontal, capturar información del sistema y enviarla a los servidores de los atacantes. Todo esto ocurre sin que el usuario note actividad sospechosa en su pantalla.

Lo más preocupante es que ClayRat utiliza el propio teléfono infectado como medio para propagarse. El spyware envía automáticamente mensajes con enlaces maliciosos a los contactos de la víctima, replicando así la infección de forma similar a como lo hacía un virus informático tradicional.

Los expertos en ciberseguridad insisten en no descargar aplicaciones fuera de la Google Play Store ni desde enlaces compartidos por mensajes o redes sociales. Si bien algunas apps legítimas se distribuyen por otros medios, la mayoría de los ataques como ClayRat aprovechan precisamente estas vías para engañar.

También se recomienda revisar los permisos otorgados a las aplicaciones ya instaladas. Android permite controlar qué apps tienen acceso a la cámara, los SMS, el micrófono o la ubicación, y revocar los que resulten innecesarios. Mantener el sistema operativo actualizado y contar con una solución de seguridad móvil confiable es otra medida clave para evitar riesgos.

Por último, si el dispositivo comienza a comportarse de forma extraña —por ejemplo, enviando mensajes sin intervención del usuario o con un consumo excesivo de batería—, lo más recomendable es formatear el teléfono y reinstalar únicamente las apps oficiales.