Die Sicherheitsfirma Solar, ein Tochterunternehmen des russischen Staatskonzerns Rostelecom, dokumentierte den Niedergang des ClayRat-Projekts in einem Bericht. Die Malware war ausgefeilter als typische Android-Trojaner: Sie konnte Anruflisten auslesen, Kontakte kopieren, Dateien zugreifen und Remote-Befehle ausführen – ein klassisches Spionage-Werkzeug.
Auf dem Höhepunkt ihrer Aktivität identifizierte die Sicherheitsfirma Zimperium über 600 Malware-Samples und etwa 50 Dropper-Programme innerhalb von drei Monaten. Der mutmaßliche Entwickler vertrieb ClayRat über Telegram-Kanäle mit aggressivem Geschäftsmodell: 90 Dollar pro Woche oder 300 Dollar monatlich – oder eine 15-prozentige Provision auf generierte Einnahmen.
Doch die Betreiber machten eine Reihe von Anfängerfehler. Passwörter wurden unverschlüsselt gespeichert, der Code war schwach obfuskiert, und die Befehlsstrukturen waren vorhersehbar und leicht zu identifizieren. Die Verbreitungsmethoden waren ebenfalls unausgefeilelt: offene Bewerbung auf Telegram und Phishing-Seiten, die bekannte Apps wie WhatsApp, Google Photos oder TikTok imitierten. Besonders auffällig waren gefälschte russische Taxi- und Parkplatz-Apps.
“Trotz ehrgeiziger Funktionalität folgte ClayRat dem Schicksal vieler kurzlebiger Android-RATs”, schrieb Solar. Das Projekt wurde primär gegen Nutzer in Russland eingesetzt.
Der Fall zeigt ein Muster, das sich wiederholt: Auch der Banking-Trojaner Gorilla, der im Vorjahr startete, stellte seine Aktivitäten nach ähnlichen Sicherheitsfehlern ein. Für Cybersicherheitsexperten ist dies beruhigend – professionelle Malware-Betreiber hätten diese Fehler vermieden.
Dennoch bleibt die Lektion: Android-Nutzer sollten kritisch bei App-Downloads sein, nur aus offizielle Quellen installieren und regelmäßig Sicherheitsupdates einspielen. Dass ein Student in wenigen Monaten so viele Geräte infiltrieren konnte, unterstreicht die Verletzlichkeit mobiler Plattformen gegen gezielt entwickelte Spyware – selbst wenn die Umsetzung haarsträubend unprofessionell war.