Nach Darstellung von Solar wurde der Niedergang von ClayRat durch eine Reihe technischer und organisatorischer Fehler des Entwicklers beschleunigt. Die Schadsoftware enthielt demnach mehrere Schwachstellen: Passwörter wurden im Klartext gespeichert, der Code war nur schwach verschleiert, und auffällige Befehlsnamen machten die Funktionen leichter erkennbar.
Auch die Verbreitungswege waren vorhersehbar. ClayRat wurde offen über Telegram beworben und über Phishing-Seiten ausgeliefert, die bekannte Anwendungen nachahmten. Dazu zählten Plattformen, die sich als WhatsApp, Google Photos, TikTok und YouTube ausgaben, sowie russische Taxi- und Park-Apps. Die Kampagne richtete sich nach Angaben der Forscher überwiegend gegen Nutzer in Russland.
Der mutmaßliche Entwickler soll ClayRat über Telegram-Kanäle in einem Abomodell vermarktet haben. Kunden zahlten demnach 90 US-Dollar pro Woche oder 300 US-Dollar pro Monat; alternativ behielt er einen Anteil von 15 Prozent an den über die Schadsoftware erzielten Einnahmen ein.
Auf ihrem Höhepunkt expandierte ClayRat rasch. Ein früherer Bericht der Sicherheitsfirma Zimperium identifizierte innerhalb von drei Monaten mehr als 600 Malware-Samples und rund 50 sogenannte Dropper, die zur Installation der Schadsoftware dienten.
“Trotz ihrer ehrgeizigen Funktionalität ging ClayRat den Weg vieler kurzlebiger Android-Fernzugriffstrojaner”, erklärte Solar. Nach einem kurzen Aktivitätsschub habe sich die Infrastruktur verschlechtert, das Projekt sei offenbar aufgegeben worden, und die Urheber würden inzwischen von den Strafverfolgungsbehörden verfolgt.
Solar verwies darauf, dass der Zusammenbruch von ClayRat dem Schicksal anderer jüngerer Schadsoftware-Projekte ähnelt. Ein Banking-Trojaner namens Gorilla, der im vergangenen Jahr startete, wurde ebenfalls innerhalb weniger Monate eingestellt, nachdem seine Betreiber vergleichbare Sicherheitsfehler gemacht hatten.
