Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Troià bancari Klopatra

Troià bancari Klopatra

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Un troià bancari d'Android desconegut anteriorment, Klopatra, ha compromès més de 3.000 dispositius, i Espanya i Itàlia són els més afectats. Descobert a finals d'agost de 2025 per investigadors de seguretat de la informació, aquest sofisticat programari maliciós combina capacitats de troià d'accés remot (RAT) amb tècniques d'evasió avançades, dirigint-se a la informació financera i permetent transaccions fraudulentes.

Tècniques d’atac sofisticades i control remot

Klopatra aprofita la computació de xarxa virtual oculta (VNC) per obtenir el control remot dels dispositius infectats. Utilitza superposicions dinàmiques per robar credencials i executar transaccions no autoritzades. A diferència del programari maliciós mòbil convencional, Klopatra integra biblioteques natives i el conjunt de protecció de codi Virbox de nivell comercial, cosa que dificulta molt la detecció i l'anàlisi.

L'anàlisi de la infraestructura de comandament i control (C2) del programari maliciós i les pistes lingüístiques indiquen que un grup criminal de parla turca opera Klopatra com una botnet privada, en lloc d'oferir-la com a programari maliciós com a servei (MaaS) públic. Des del març del 2025, s'han identificat 40 versions diferents del troià.

Com s’atreuen les víctimes

Klopatra es propaga mitjançant tàctiques d'enginyeria social, enganyant els usuaris perquè instal·lin aplicacions que es fan passar per eines inofensives, com ara aplicacions de streaming d'IPTV. Aquestes aplicacions aprofiten la voluntat dels usuaris d'instal·lar programari pirata de fonts no fiables.

Un cop instal·lat, el dropper sol·licita permisos per instal·lar paquets de fonts desconegudes. A continuació, extreu la càrrega útil principal de Klopatra d'un packer JSON incrustat. El programari maliciós també sol·licita serveis d'accessibilitat d'Android, que, tot i que estan dissenyats per ajudar els usuaris amb discapacitats, es poden utilitzar de manera abusiva per:

  • Llegir el contingut de la pantalla
  • Registra les pulsacions de tecles
  • Executar accions de manera autònoma

Això permet als atacants cometre fraus financers sense el coneixement de la víctima.

Arquitectura avançada per a la furtivitat i la resiliència

Klopatra destaca pel seu disseny avançat i resistent:

  • La integració de Virbox protegeix el programari maliciós de l'anàlisi.
  • Les funcions bàsiques es van traslladar de Java a biblioteques natives per augmentar la discreció.
  • L'ofuscació extensiva del codi, l'antidepuració i les comprovacions d'integritat en temps d'execució dificulten la detecció.
  • Els operadors obtenen un control granular i en temps real a través de VNC, inclosa la capacitat de:
  • Servir una superposició de pantalla negra per ocultar l'activitat maliciosa.
  • Executar transaccions bancàries en secret.
  • Lliura dinàmicament pantalles d'inici de sessió falses a aplicacions financeres i de criptomoneda específiques.

El programari maliciós també desactiva el programari antivirus preinstal·lat i pot augmentar els seus permisos mitjançant serveis d'accessibilitat per evitar la terminació.

Execució de fraus i sincronització estratègica

Els operadors de Klopatra segueixen una seqüència d'atac acuradament orquestrada:

  • Comproveu si el dispositiu s'està carregant, si la pantalla està apagada i si està inactiu.
  • Redueix la brillantor de la pantalla a zero i mostra una superposició negra.
  • Utilitzeu PIN o patrons robats per accedir a aplicacions bancàries.
  • Executa diverses transferències bancàries instantànies sense ser detectat.

Aquesta estratègia nocturna garanteix que els dispositius romanguin encesos i sense supervisió, cosa que dóna als atacants una finestra ideal per operar mentre les víctimes dormen.

Implicacions per al sector financer

Tot i que Klopatra no reinventa el programari maliciós per a mòbils, representa una escalada significativa en la sofisticació de les amenaces. En adoptar proteccions de nivell comercial i tàctiques furtives, els operadors maximitzen tant la rendibilitat com la vida útil de les seves operacions.

Google ha confirmat que no s'han trobat aplicacions infectades a Google Play, però la dependència del programari maliciós de canals de distribució d'aplicacions de tercers i pirates subratlla el risc continu per als usuaris de mòbils.

Tendència

Més vist

Carregant...