Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Банков троянец Klopatra

Банков троянец Klopatra

До Mezo през Мобилен зловреден софтуер, Банков троянски конг
Превод на:

Неизвестен досега банков троянски кон за Android, Klopatra, е компрометирал над 3000 устройства, като Испания и Италия са най-засегнати. Открит в края на август 2025 г. от изследователи по информационна сигурност, този сложен зловреден софтуер съчетава възможности за троянски кон за отдалечен достъп (RAT) с усъвършенствани техники за избягване на атаки, като е насочен към финансова информация и позволява измамни транзакции.

Сложни техники за атака и дистанционно управление

Kopatra използва скрити виртуални мрежови изчисления (VNC), за да получи дистанционен контрол над заразените устройства. Използва динамични наслагвания, за да краде идентификационни данни и да извършва неоторизирани транзакции. За разлика от конвенционалния мобилен зловреден софтуер, Kopatra интегрира вградени библиотеки и пакета за защита на кода Virbox от търговски клас, което прави откриването и анализа изключително трудни.

Анализът на инфраструктурата за командване и контрол (C2) на зловредния софтуер и езиковите улики показва, че турскоезична престъпна група управлява Kopatra като частна ботнет мрежа, вместо да я предлага като публичен злонамерен софтуер като услуга (MaaS). От март 2025 г. насам са идентифицирани 40 различни версии на троянския кон.

Как жертвите биват примамвани

Kopatra се разпространява чрез тактики на социално инженерство, подвеждайки потребителите да инсталират приложения, маскирани като безобидни инструменти, като например приложения за IPTV стрийминг. Тези приложения експлоатират желанието на потребителите да инсталират пиратски софтуер от ненадеждни източници.

След инсталирането си, зловредният софтуер изисква разрешения за инсталиране на пакети от неизвестни източници. След това извлича основния полезен товар на Kopatra от вграден JSON Packer. Зловредният софтуер допълнително изисква услуги за достъпност на Android, които, макар и предназначени да помагат на потребители с увреждания, могат да бъдат злоупотребени за:

  • Прочетете съдържанието на екрана
  • Записване на натискания на клавиши
  • Изпълнявайте действията автономно

Това позволява на нападателите да извършват финансови измами без знанието на жертвата.

Усъвършенствана архитектура за скритост и устойчивост

Klopatra се откроява със своя усъвършенстван и устойчив дизайн:

  • Интеграцията с Virbox предпазва зловредния софтуер от анализ.
  • Основните функции са преместени от Java към нативни библиотеки за по-голяма скритост.
  • Обширните проверки за обфускация на кода, анти-дебъгване и целостта по време на изпълнение възпрепятстват откриването.
  • Операторите получават подробен контрол в реално време чрез VNC, включително възможността за:
  • Показвайте наслагване на черен екран, за да скриете злонамерена активност.
  • Извършвайте банкови транзакции тайно.
  • Динамично предоставяйте фалшиви екрани за вход на целеви финансови и криптовалутни приложения.

Зловредният софтуер също така деактивира предварително инсталирания антивирусен софтуер и може да повиши разрешенията му, използвайки услуги за достъпност, за да предотврати прекратяване на работата.

Изпълнение на измами и стратегическо време

Операторите на Клопатра следват внимателно оркестрирана последователност от атаки:

  • Проверете дали устройството се зарежда, екранът е изключен и устройството е в режим на готовност.
  • Намалете яркостта на екрана до нула и покажете черно наслагване.
  • Използвайте откраднати ПИН кодове или шаблони за достъп до банкови приложения.
  • Изпълнявайте множество незабавни банкови преводи незабелязано.

Тази нощна стратегия гарантира, че устройствата остават захранвани и без надзор, което дава на нападателите идеален прозорец за работа, докато жертвите спят.

Последици за финансовия сектор

Въпреки че Kopatra не преоткрива мобилния зловреден софтуер, той представлява значително повишаване на сложността на заплахите. Чрез прилагането на защити от търговски клас и скрити тактики, операторите максимизират както рентабилността, така и продължителността на дейността си.

Google потвърди, че в Google Play не са открити заразени приложения, но зависимостта на зловредния софтуер от канали за разпространение на приложения от трети страни и пиратски приложения подчертава продължаващия риск за мобилните потребители.

Тенденция

Най-гледан

Зареждане...