В мире мобильных угроз регулярно появляются новые вредоносные программы, претендующие на место в арсенале киберпреступников. Однако история семейства ClayRat - это наглядный урок о том, как фундаментальные промахи в разработке и операционной безопасности могут привести к быстрому краху даже перспективного проекта. Этот Android-троянец, обладавший широкими шпионскими возможностями, от перехвата SMS до удалённого управления устройством, стремительно вспыхнул и угас в течение нескольких месяцев, оставив после себя след из технических недочётов и, вероятно, уголовное дело.
Описание
ClayRat относился к классу Spyware/RAT (троянец удалённого доступа), то есть был предназначен для скрытного наблюдения за жертвой и полного контроля над её смартфоном. Его функционал включал перехват SMS и журнала вызовов, доступ к списку контактов, тайное фотографирование и запись экрана, а также выполнение команд, поступающих с управляющего сервера. Распространялся вредонос преимущественно через фишинговые сайты и под видом легитимных приложений. Пик его активности пришёлся на октябрь 2025 года, однако уже к декабрю того же года вся его инфраструктура командных серверов перестала отвечать. Судьба ClayRat во многом повторяет историю другого известного троянца - Gorilla: громкий старт, быстрое масштабирование и стремительный крах из-за просчётов автора.
Технический анализ серверной части, проведённый специалистами, вскрыл целый ряд критических уязвимостей и архитектурных ошибок. Бэкенд панели управления был написан на языке Go версии 1.24 и не подвергался обфускации, что делало его код легко читаемым для исследователей. Более того, в исполняемый файл были включены отладочные строки, что является грубым нарушением практик безопасной разработки. Вместо использования базы данных для хранения критически важной информации, такой как учётные данные операторов и данные о заражённых устройствах, разработчик использовал простые JSON-файлы. Это не только неэффективно с точки зрения производительности, но и крайне опасно для безопасности.
Наиболее вопиющим недостатком стало хранение конфиденциальных данных в открытом виде (plaintext). Пароли пользователей административной панели, токены для интеграции с Telegram и SMS-сервисами, а также домены командных серверов - всё это лежало в конфигурационных файлах без какого-либо шифрования. В случае компрометации сервера злоумышленники получали мгновенный доступ ко всей этой информации, что создавало риски не только для жертв троянца, но и для его операторов. Отдельного внимания заслуживает модуль фильтрации перехваченных SMS. Он был реализован как многоуровневая система парсинга, которая искала в сообщениях ключевые слова, связанные с банками, микрофинансовыми организациями и маркетплейсами, а также номера банковских карт с помощью регулярных выражений. Это прямо указывает на финансовую мотивацию создателей ClayRat.
Для массового распространения в панели управления был встроен APK-билдер. Этот инструмент позволял операторам генерировать вредоносные приложения на основе шаблона, подставляя в него настраиваемые параметры: идентификатор устройства, контакт в Telegram, URL панели управления и даже ссылку, которая открывалась в WebView при запуске приложения-обёртки. Инфраструктура ClayRat была довольно обширной и включала около сотни IP-адресов командных серверов. Ключевым доменом, фигурирующим как в коде троянца, так и в индикаторах компрометации другого вредоноса - DCRAT, был kpmail[.]su.
Финал истории ClayRat оказался предсказуемым. После периода активного роста число новых серверов стало сокращаться, а затем их доступность и вовсе сошла на нет. Причиной столь стремительного заката, вероятно, стало задержание подозреваемого в его создании. Согласно информации из открытых источников, в декабре 2025 года в Краснодаре был задержан студент, подозреваемый в разработке ClayRat. Данный факт [сообщили ряд профильных Telegram-каналов, специализирующихся на информационной безопасности. Это событие поставило точку в краткой, но яркой истории проекта.
Таким образом, ClayRat представляет собой классический пример амбициозного, но технически слабого киберпреступного проекта. Наличие продвинутого функционала, такого как анализ SMS и удалённое управление, нивелировалось фундаментальными ошибками: отсутствием шифрования критичных данных, примитивной обфускацией, хранением информации в файлах вместо СУБД и пренебрежением базовыми принципами операционной безопасности. Эти просчёты не только облегчили работу исследователям, но и, вероятно, помогли правоохранительным органам выйти на след разработчика. История ClayRat служит напоминанием для специалистов по защите информации: даже угрозы среднего уровня сложности требуют внимания, а их быстрое исчезновение с радаров часто связано не с мастерством злоумышленников, а с их собственной некомпетентностью. Для организаций и обычных пользователей этот случай лишний раз подчёркивает важность базовых мер защиты: установки приложений только из официальных магазинов, внимательного отношения к запросам разрешений и использования антивирусных решений для мобильных устройств.
Индикаторы компрометации
Domains
- 999.claydc.top
- armenin.clay.rest
- atom.clayrat.top
- babynot.clay.rest
- billy.clayhusas.sbs
- burger.clayfenrirhuy.top
- cash.clayrat.top
- cc.claysrat.top
- ded.clayratnik.top
- dragonball.cfd
- dragonball.rest
- dragonball.sbs
- gelya.claysrat.top
- igro.clayratnik.top
- korobok.site
- liker.clay.rest
- mryes.clayfenrirhuy.top
- n1.claysrat.top
- phobia.clay.rest
- pidoras.claysrat.top
- pupkin.clayratnik.top
- scodex.clayratnik.top
- shiza.clayratnik.top
- slavik.clay.rest
- stepan.clayratnik.top
- swaga.claydc.top
- swapn.claydc.top
- xapaem.clayratnik.top
MD5
- e99ed610f69eef88046e5a52a638fc3c
SHA1
- 6f9920f11bf4bd0b6e08b578201a8a37fff1283c
SHA256
- c5ae9f00de305435ad8a1f17cd825a576a237c5a116b469d40b994101a7c02a2
- d6b5ebce1531484f384868c68c1639acc351954b09b7fbb989d2060f2adc0c45
