ClayRat: Android-RAT с шпионскими функциями и провальной инфраструктурой

ClayRat: Android RAT, который быстро привлек внимание и так же быстро исчез с радаров

Семейство вредоносного ПО ClayRat стало заметным примером того, как даже относительно активно развивающийся Android RAT может быстро потерять инфраструктуру и перспективы дальнейшего использования. По данным отчета, это вредоносное ПО сочетало функции Trojan, RAT и spyware, позволяя злоумышленникам скрытно наблюдать за пользователями, перехватывать SMS-сообщения, получать доступ к контактам, отслеживать журналы вызовов, делать screenshots и выполнять команды с сервера управления (C2).

Как распространялся ClayRat

Основными каналами распространения были phishing-сайты и маскировка под легитимные applications. Такая схема позволяла выманивать у пользователей установку зараженных APK-файлов под видом полезного или знакомого ПО.

Отдельного внимания заслуживает серверная часть инфраструктуры ClayRat. Анализ показал наличие модуля в архиве «server.zip», где находились:

• основной executable файл;
• tools для создания и signing вредоносных APK-файлов;
• template, используемый для генерации APK-файлов.

Слабое место — сама инфраструктура

Внутренний server, написанный на Go, оказался крайне плохо защищен. Исследователи указали на целый ряд недостатков, среди которых:

• хранение passwords в open text;
• незащищенные debug strings;
• базовые методы obfuscation;
• использование JSON для хранения данных вместо database management system.

Такая реализация создавала серьезные риски при компрометации серверной части. Иными словами, сама архитектура проекта демонстрировала низкий уровень operational security.

Функции, рассчитанные на кражу данных и мошенничество

ClayRat выделялся не только стандартными функциями spyware, но и дополнительными возможностями, которые расширяли его потенциал для злоупотреблений. В частности, вредоносное ПО обладало механизмом ведения журнала вызовов, позволяющим совершать звонки с зараженных устройств без перехвата звука. Это, по оценке аналитиков, открывает путь к потенциальным схемам fare fraud.

Кроме того, ClayRat включал продвинутую систему фильтрации SMS, способную анализировать определенные keywords и regular expressions, связанные с банковскими и финансовыми транзакциями. Такой подход позволял злоумышленникам точечно искать сообщения, содержащие чувствительную информацию, и повышал эффективность кражи данных.

Связь с другой вредоносной инфраструктурой

Инфраструктура ClayRat использовала домен kpmail.su, который, как отмечается в отчете, связан и с другими вредоносными функциями, включая backdoor DCRAT. Это указывает на возможные пересечения между различными malicious-операциями и общей технической базой, используемой злоумышленниками.

Крах проекта и задержание разработчика

По имеющимся данным, к декабрю 2025 года все C2 servers, связанные с ClayRat, стали inactive. Это совпало с задержанием разработчика в Краснодаре, что, по сути, ослабило любые перспективы продолжения операций и дальнейшего развития проекта.

Несмотря на первоначальный интерес и заметное внимание после запуска в конце 2025 года, ClayRat быстро повторил судьбу ряда подобных проектов. Низкое качество security-практик и недостаточная operational security сыграли ключевую роль в его стремительном ослаблении.

Итог: после потери инфраструктуры дальнейшее развитие ClayRat, по всей видимости, прекратилось, а действия правоохранительных органов против его создателей обозначили завершение очередной главы в истории этого семейства Android-вредоносных программ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.