Slevová nabídka pro více licencí
Databáze hrozeb Mobilní malware Bankovní trojan Klopatra

Bankovní trojan Klopatra

V roce Mezo v roce Mobilní malware, Bankovní Trojan
Přeložit do:

Dříve neznámý bankovní trojský kůň pro Android s názvem Klopatra napadl přes 3 000 zařízení, přičemž nejvíce zasaženy byly Španělsko a Itálie. Tento sofistikovaný malware, objevený koncem srpna 2025 výzkumníky v oblasti informační bezpečnosti, kombinuje schopnosti trojského koně pro vzdálený přístup (RAT) s pokročilými technikami úniku, cílí na finanční informace a umožňuje podvodné transakce.

Sofistikované útočné techniky a dálkové ovládání

Kloopatra využívá technologii Hidden Virtual Network Computing (VNC) k získání vzdálené kontroly nad infikovanými zařízeními. Používá dynamické překryvy k odcizení přihlašovacích údajů a provádění neoprávněných transakcí. Na rozdíl od konvenčního mobilního malwaru integruje Kloopatra nativní knihovny a komerční sadu ochrany kódu Virbox, což extrémně ztěžuje detekci a analýzu.

Analýza infrastruktury Command-and-Control (C2) malwaru a lingvistických stop naznačuje, že tureckojazyčná zločinecká skupina provozuje Klopatru jako soukromý botnet, spíše než aby jej nabízela jako veřejnou službu malwaru jako službu (MaaS). Od března 2025 bylo identifikováno 40 různých verzí trojského koně.

Jak jsou oběti lákány

Kopatra se šíří pomocí taktik sociálního inženýrství, kdy lstí láká uživatele k instalaci aplikací maskovaných jako neškodné nástroje, jako jsou aplikace pro streamování IPTV. Tyto aplikace zneužívají ochotu uživatelů instalovat pirátský software z nedůvěryhodných zdrojů.

Po instalaci dropper požaduje oprávnění k instalaci balíčků z neznámých zdrojů. Poté extrahuje hlavní datovou část Klopatra z vloženého JSON Packeru. Malware dále požaduje služby přístupnosti systému Android, které jsou sice navrženy tak, aby pomáhaly uživatelům se zdravotním postižením, ale lze je zneužít k:

  • Číst obsah obrazovky
  • Zaznamenávat stisky kláves
  • Provádějte akce autonomně

To umožňuje útočníkům provádět finanční podvody bez vědomí oběti.

Pokročilá architektura pro nenápadnost a odolnost

Kloopatra vyniká svým pokročilým a odolným designem:

  • Integrace Virboxu chrání malware před analýzou.
  • Základní funkce se kvůli větší nenápadnosti přesunuly z Javy do nativních knihoven.
  • Rozsáhlé zmatkování kódu, anti-debugging a kontroly integrity za běhu brání detekci.
  • Operátoři získají přesnou a detailní kontrolu v reálném čase prostřednictvím VNC, včetně možnosti:
  • Zobrazte černou obrazovku, která skryje škodlivou aktivitu.
  • Provádějte bankovní transakce tajně.
  • Dynamicky doručujte falešné přihlašovací obrazovky cíleným finančním a kryptoměnovým aplikacím.

Malware také deaktivuje předinstalovaný antivirový software a může zvyšovat jeho oprávnění pomocí služeb usnadnění přístupu, aby zabránil ukončení.

Provádění podvodů a strategické načasování

Klopatrini operátoři dodržují pečlivě zorganizovanou útočnou sekvenci:

  • Zkontrolujte, zda se zařízení nabíjí, zda je obrazovka vypnutá a zda je zařízení nečinné.
  • Snižte jas obrazovky na nulu a zobrazte černé překrytí.
  • Používejte ukradené PINy nebo vzory pro přístup k bankovním aplikacím.
  • Provádějte více okamžitých bankovních převodů nepozorovaně.

Tato noční strategie zajišťuje, že zařízení zůstanou napájena a bez dozoru, což útočníkům poskytuje ideální čas na jejich ovládání, zatímco oběti spí.

Důsledky pro finanční sektor

Ačkoli Kopatra nereinventuje mobilní malware, představuje významné zvýšení sofistikovanosti hrozeb. Zavedením komerčních ochranných opatření a stealth taktik provozovatelé maximalizují ziskovost i životnost svých operací.

Společnost Google potvrdila, že na Google Play nenalezla žádné infikované aplikace, ale závislost malwaru na distribučních kanálech třetích stran a pirátských aplikací podtrhuje přetrvávající riziko pro mobilní uživatele.

Trendy

Nejvíce shlédnuto

Načítání...