Klopatra Banking Trojan

یک تروجان بانکی اندرویدی ناشناخته به نام Klopatra، بیش از ۳۰۰۰ دستگاه را آلوده کرده است که اسپانیا و ایتالیا بیشترین آسیب را دیده‌اند. این بدافزار پیچیده که در اواخر آگوست ۲۰۲۵ توسط محققان infosec کشف شد، قابلیت‌های تروجان دسترسی از راه دور (RAT) را با تکنیک‌های پیشرفته فرار ترکیب می‌کند، اطلاعات مالی را هدف قرار می‌دهد و امکان تراکنش‌های جعلی را فراهم می‌کند.

تکنیک‌های حمله پیچیده و کنترل از راه دور

Klopatra از محاسبات شبکه مجازی پنهان (VNC) برای به دست گرفتن کنترل از راه دور دستگاه‌های آلوده استفاده می‌کند. این بدافزار از پوشش‌های پویا برای سرقت اعتبارنامه‌ها و اجرای تراکنش‌های غیرمجاز استفاده می‌کند. برخلاف بدافزارهای موبایل معمولی، Klopatra کتابخانه‌های بومی و مجموعه محافظت از کد Virbox در سطح تجاری را ادغام می‌کند و تشخیص و تجزیه و تحلیل آن را بسیار دشوار می‌سازد.

تجزیه و تحلیل زیرساخت فرماندهی و کنترل (C2) این بدافزار و سرنخ‌های زبانی نشان می‌دهد که یک گروه تبهکار ترک‌زبان، Klopatra را به عنوان یک بات‌نت خصوصی اداره می‌کند، نه به عنوان یک بدافزار عمومی به عنوان سرویس (MaaS). از مارس 2025، 40 نسخه مجزا از این تروجان شناسایی شده است.

چگونه قربانیان فریب می‌خورند

Klopatra از طریق تاکتیک‌های مهندسی اجتماعی گسترش می‌یابد و کاربران را فریب می‌دهد تا برنامه‌های کاربردی مخرب را که به عنوان ابزارهای بی‌ضرر مانند برنامه‌های پخش IPTV ظاهر می‌شوند، نصب کنند. این برنامه‌ها از تمایل کاربران برای نصب نرم‌افزارهای غیرقانونی از منابع غیرقابل اعتماد سوءاستفاده می‌کنند.

پس از نصب، این بدافزار درخواست مجوز برای نصب بسته‌ها از منابع ناشناخته را می‌کند. سپس بار داده اصلی Klopatra را از یک JSON Packer جاسازی‌شده استخراج می‌کند. این بدافزار علاوه بر این، سرویس‌های دسترسی اندروید را درخواست می‌کند که اگرچه برای کمک به کاربران دارای معلولیت طراحی شده‌اند، اما می‌توانند برای موارد زیر مورد سوءاستفاده قرار گیرند:

• خواندن محتویات صفحه نمایش
• ضبط کلیدهای فشرده شده
• انجام اقدامات به صورت خودکار

این امر به مهاجمان اجازه می‌دهد تا بدون اطلاع قربانی، کلاهبرداری مالی انجام دهند.

معماری پیشرفته برای پنهان‌کاری و انعطاف‌پذیری

کلوپاترا به دلیل طراحی پیشرفته و مقاوم خود برجسته است:

• ادغام Virbox از بدافزار در برابر تجزیه و تحلیل محافظت می‌کند.
• توابع اصلی برای افزایش پنهان‌کاری از جاوا به کتابخانه‌های بومی منتقل شدند.
• مبهم‌سازی گسترده کد، ضد اشکال‌زدایی و بررسی‌های یکپارچگی زمان اجرا، مانع از تشخیص می‌شوند.

• اپراتورها از طریق VNC کنترل دقیق و بلادرنگ را به دست می‌آورند، از جمله توانایی:

• برای پنهان کردن فعالیت‌های مخرب، یک صفحه سیاه روی آن قرار دهید.

• تراکنش‌های بانکی را مخفیانه انجام دهید.

• به صورت پویا صفحات ورود جعلی را به برنامه‌های مالی و ارزهای دیجیتال هدفمند ارائه می‌دهد.

این بدافزار همچنین نرم‌افزار آنتی‌ویروس از پیش نصب‌شده را غیرفعال می‌کند و می‌تواند مجوزهای خود را با استفاده از سرویس‌های دسترسی افزایش دهد تا از خاتمه یافتن آن جلوگیری کند.

اجرای کلاهبرداری و زمان‌بندی استراتژیک

اپراتورهای کلوپاترا یک توالی حمله‌ی دقیق و هماهنگ را دنبال می‌کنند:

• بررسی کنید که آیا دستگاه در حال شارژ است، صفحه نمایش خاموش است و دستگاه در حالت آماده به کار است یا خیر.
• روشنایی صفحه نمایش را به صفر کاهش دهید و یک لایه سیاه روی آن نمایش دهید.
• از پین‌ها یا الگوهای دزدیده شده برای دسترسی به برنامه‌های بانکی استفاده کنید.
• چندین انتقال بانکی فوری را بدون شناسایی انجام دهید.

این استراتژی شبانه تضمین می‌کند که دستگاه‌ها روشن و بدون مراقبت باقی می‌مانند و به مهاجمان فرصت ایده‌آلی برای فعالیت در حالی که قربانیان خواب هستند، می‌دهد.

پیامدهایی برای بخش مالی

اگرچه کلوپاترا بدافزارهای موبایل را از نو اختراع نمی‌کند، اما نشان‌دهنده‌ی افزایش قابل توجه پیچیدگی تهدید است. با اتخاذ محافظت‌های در سطح تجاری و تاکتیک‌های مخفی‌کاری، اپراتورها هم سودآوری و هم طول عمر عملیات خود را به حداکثر می‌رسانند.

گوگل تأیید کرده است که هیچ برنامه آلوده‌ای در گوگل پلی پیدا نشده است، اما وابستگی این بدافزار به کانال‌های توزیع برنامه‌های شخص ثالث و غیرقانونی، خطر مداوم برای کاربران تلفن همراه را برجسته می‌کند.