美国移动设备安全公司Zimperium上周揭露了一款新型Android恶意程序ClayRat，该程序主要针对俄罗斯用户，伪装成WhatsApp、Google相册、TikTok和YouTube等热门应用，诱导受害者下载安装，从事间谍活动。

ClayRat一旦成功感染Android设备，即可窃取设备中的短信、通话记录、通知内容及设备信息；还能调用设备摄像头拍照，或直接通过设备发送短信、拨打电话。

攻击者首先注册多个假冒的热门应用服务页面，直接提供内含ClayRat的伪造应用程序；或引导用户前往可直接下载APK文件的Telegram频道；亦会设置伪造的“升级”按钮，并附上安装指引，诱使用户绕过Android系统的内置安全警告。

然而，最危险的传播方式是：当受害者安装恶意程序并授予其默认短信处理器（Default SMS Handler）权限后，ClayRat便可读取设备全部短信内容，在无需额外确认的情况下发送新短信，拦截或优先接收短信，并访问甚至修改短信数据库。黑客借此功能，利用受害设备向其通讯录中所有联系人发送包含恶意链接的短信，实现快速自我传播。

研究人员发现，ClayRat的传播速度与变种更新极为迅速，在短短三个月内已出现超过600个不同版本的恶意样本，以及50个不同的下载器。