行动安全厂商Zimperium旗下zLabs研究团队公布最新分析指出，新版ClayRat在原本可窃取短信、通话记录与照片的基础上，进一步滥用Android无障碍服务与默认短信App权限，不仅能自动解锁手机，还可录制屏幕、伪造通知并远程操控设备。

ClayRat在10月首次被曝光时，已被归类为快速演进的Android间谍软件家族，此次新增了更多监控与远程控制机制，使受害者更难察觉与清除。

研究人员指出，攻击者架设了超过25个钓鱼网站，伪装成YouTube等视频平台页面，以及车载诊断工具Car Scanner ELM的正规下载页面，诱骗用户下载恶意安装包。此外，ClayRat也被发现利用云存储服务Dropbox传播恶意APK。截至目前，研究人员在短时间内已检测到超过700个独立APK文件。

新版ClayRat安装后，会先引导用户将其设为默认短信应用，以获取广泛的短信读写权限，随后要求启用无障碍服务。当这两项关键权限被获取后，恶意程序即可通过模拟点击自动操作系统界面，例如关闭应用商店及相关安全机制，降低被Google Play Protect拦截的机会。ClayRat仍采用加密恶意载荷与dropper架构，将真正的恶意模块以AES/CBC加密后隐藏在资源目录中，运行时再在本地解密加载，以增加分析难度。

这一代ClayRat更专注于攻击锁屏界面与屏幕内容。研究人员指出，恶意程序会监控来自SystemUI与Keyguard的无障碍事件，记录用户在PIN码、密码或图形解锁界面的每一次输入，重建解锁凭证后存储在本地设置中，供日后自动解锁使用。同时，ClayRat可通过MediaProjection API启动屏幕录制，配合类似VNC的远程桌面机制，长时间串流手机画面给攻击者，并支持模拟点击与滑动，实现远程实际操控受感染设备。

新版ClayRat还将通知与覆盖层作为重要攻击面。攻击者可下发指令，要求恶意程序在手机上创建自定义通知，外观看似来自合法应用，实则拦截用户在通知中的回复内容并回传至服务器，用于窃取账号密码等敏感信息。

研究人员警告，一旦员工手机被ClayRat感染，攻击者可能拦截多因素验证验证码、录制企业应用操作画面，甚至以受害者身份在通讯工具上发消息或拨打电话，进一步尝试登录企业系统或实施社交工程攻击。