Солары выкатили отчет с техническим разбором ClayRat, вредоносного ПО для Android, относящегося к классу Spyware/RAT, которое функционально предназначено для скрытого наблюдения за пользователем и удаленного управления зараженным устройством. В аналогичных исслкедованиях Zimperium (1 и 2) также был представлен технический разбор нагрузок и примеры массового распространения вредоноса. Однако Солары обратили основное внимание на серверную часть и подвели общий итог активности ClayRat. Вредонос способен перехватывать SMS-сообщения и журнал вызовов, получать доступ к контактам, делать фотографии, запись экрана, а также отправлять команды с C2. Распространяется преимущественно через фишинговые сайты и под видом легитимных приложений. Бэкенд написан на Go (1.24), не обфусцирован, содержит дебаг-строк и использует файловое хранение (JSON) вместо СУБД. APK-билдер генерирует вредоносные приложения на основе шаблона, подставляя конфигурируемые параметры. Конфигурация хранится в plaintext: пароли пользователей, токены Telegram/SMS, C2-домены, - что создает дополнительные риски при компрометации панели. Фильтрация SMS реализует многоуровневый парсинг: поиск по ключевым словам банков, МФО, маркетплейсов, поиск номеров карт по регулярным выражениям и т.д. Инфраструктура использовала домен kpmail[.]su и массив C2-серверов (~100 IP). Примечательно, что домен фигурирует не только в инфраструктуре ClayRat: он также встречается в индикаторах компрометации бэкдора DCRAT, где ему соответствует поддомен dcrat[.]kpmail[.]su. Но к декабрю 2025 года все C2-серверы стали недоступны. Как оказалось дело в том, что согласно открытым источникам в Краснодаре задержали студента, который подозревался в создании вредоноса ClayRat. Таким образом, активность ClayRat, вероятно, прекратилась после задержания. В этой связи история ClayRat во многом повторяет судьбу Gorilla: после громкого старта и быстрого масштабирования инфраструктуры проект стремительно угас. Вредонос, который привлек к себе широкое внимание в октябре 2025 года, к декабрю того же года потерял все командные серверы. Как отмечает Солары, проект отгремел ярко, но быстро во многом из-за фундаментальных просчетов его автора. Все технические подробности и IOCs - в отчете.