Rabattilbud med flere licenser
Trusseldatabase Mobil malware Klopatra Banking Trojan

Klopatra Banking Trojan

Med Mezo i Mobil malware, Bank Trojan
Oversæt til:

En hidtil ukendt Android-banktrojan, Klopatra, har kompromitteret over 3.000 enheder, hvor Spanien og Italien er hårdest ramt. Denne sofistikerede malware, der blev opdaget i slutningen af august 2025 af infosec-forskere, kombinerer fjernadgangstrojaner (RAT)-funktioner med avancerede undvigelsesteknikker, der målretter finansielle oplysninger og muliggør svigagtige transaktioner.

Sofistikerede angrebsteknikker og fjernbetjening

Klopatra udnytter Hidden Virtual Network Computing (VNC) til at få fjernkontrol over inficerede enheder. Det bruger dynamiske overlays til at stjæle legitimationsoplysninger og udføre uautoriserede transaktioner. I modsætning til konventionel mobil malware integrerer Klopatra native biblioteker og den kommercielle Virbox-kodebeskyttelsespakke, hvilket gør detektion og analyse ekstremt vanskelig.

Analyse af malwarens kommando-og-kontrol (C2) infrastruktur og sproglige spor tyder på, at en tyrkisktalende kriminel gruppe driver Klopatra som et privat botnet i stedet for at tilbyde det som en offentlig malware-as-a-service (MaaS). Siden marts 2025 er der blevet identificeret 40 forskellige versioner af trojaneren.

Hvordan ofre bliver lokket ind

Klopatra spredes via social engineering, hvor brugerne bliver narret til at installere dropper-apps, der udgiver sig for at være harmløse værktøjer, såsom IPTV-streamingapplikationer. Disse apps udnytter brugernes villighed til at installere piratkopieret software fra upålidelige kilder.

Når dropperen er installeret, anmoder den om tilladelser til at installere pakker fra ukendte kilder. Den udtrækker derefter Klopatra-nyttelasten fra en integreret JSON Packer. Malwaren anmoder desuden om Android-tilgængelighedstjenester, som, selvom de er designet til at hjælpe brugere med handicap, kan misbruges til at:

  • Læs skærmindholdet
  • Optag tastetryk
  • Udfør handlinger autonomt

Dette giver angribere mulighed for at udføre økonomisk svindel uden offerets viden.

Avanceret arkitektur for skjult beskyttelse og robusthed

Klopatra skiller sig ud på grund af sit avancerede og robuste design:

  • Virbox-integration beskytter malware mod analyse.
  • Kernefunktioner flyttet fra Java til native biblioteker for øget stealth.
  • Omfattende kodeforsløring, anti-debugging og runtime-integritetskontroller hindrer detektion.
  • Operatører får granulær kontrol i realtid via VNC, herunder muligheden for at:
  • Vis en sort skærmoverlay for at skjule ondsindet aktivitet.
  • Udfør banktransaktioner i hemmelighed.
  • Lever dynamisk falske loginskærme til målrettede finansielle og kryptovaluta-apps.

    • Malwaren deaktiverer også forudinstalleret antivirussoftware og kan eskalere dens tilladelser ved hjælp af tilgængelighedstjenester for at forhindre opsigelse.

    Udførelse af svindel og strategisk timing

    Klopatras operatører følger en omhyggeligt orkestreret angrebssekvens:

    • Kontroller, om enheden oplader, om skærmen er slukket, og om enheden er inaktiv.
    • Reducer skærmens lysstyrke til nul og vis et sort overlay.
    • Brug stjålne pinkoder eller mønstre til at få adgang til bankapps.
    • Udfør flere øjeblikkelige bankoverførsler uopdaget.

    Denne natstrategi sikrer, at enheder forbliver strømforsynede og uden opsyn, hvilket giver angriberne et ideelt tidsrum til at betjene dem, mens ofrene sover.

    Implikationer for den finansielle sektor

    Selvom Klopatra ikke genopfinder mobil malware, repræsenterer det en betydelig eskalering af trusselskompleksitet. Ved at anvende kommerciel beskyttelse og stealth-taktikker maksimerer operatørerne både rentabiliteten og levetiden for deres aktiviteter.

    Google har bekræftet, at der ikke er fundet inficerede apps på Google Play, men malwarens afhængighed af tredjeparts- og piratkopierede apps-distributionskanaler understreger den fortsatte risiko for mobilbrugere.

    Trending

    Mest sete

    Indlæser...