Klopatra Banking Trojan

एक पहले से अज्ञात एंड्रॉइड बैंकिंग ट्रोजन, क्लोपेट्रा, ने 3,000 से ज़्यादा डिवाइसों को प्रभावित किया है, जिनमें स्पेन और इटली सबसे ज़्यादा प्रभावित हुए हैं। इन्फोसेक शोधकर्ताओं द्वारा अगस्त 2025 के अंत में खोजा गया, यह परिष्कृत मैलवेयर रिमोट एक्सेस ट्रोजन (RAT) क्षमताओं को उन्नत चोरी तकनीकों के साथ मिलाकर वित्तीय जानकारी को निशाना बनाता है और धोखाधड़ी वाले लेनदेन को संभव बनाता है।

परिष्कृत हमले की तकनीक और रिमोट कंट्रोल

क्लोपेट्रा संक्रमित उपकरणों पर रिमोट कंट्रोल हासिल करने के लिए हिडन वर्चुअल नेटवर्क कंप्यूटिंग (VNC) का इस्तेमाल करता है। यह क्रेडेंशियल्स चुराने और अनधिकृत लेनदेन करने के लिए डायनेमिक ओवरले का इस्तेमाल करता है। पारंपरिक मोबाइल मैलवेयर के विपरीत, क्लोपेट्रा नेटिव लाइब्रेरीज़ और कमर्शियल-ग्रेड विरबॉक्स कोड प्रोटेक्शन सूट को एकीकृत करता है, जिससे पता लगाना और विश्लेषण करना बेहद मुश्किल हो जाता है।

मैलवेयर के कमांड-एंड-कंट्रोल (C2) इंफ्रास्ट्रक्चर और भाषाई सुरागों के विश्लेषण से पता चलता है कि एक तुर्की भाषी आपराधिक समूह क्लोपेट्रा को एक सार्वजनिक मैलवेयर-एज़-ए-सर्विस (MaaS) के रूप में पेश करने के बजाय, एक निजी बॉटनेट के रूप में संचालित करता है। मार्च 2025 से, ट्रोजन के 40 अलग-अलग बिल्ड की पहचान की जा चुकी है।

पीड़ितों को कैसे फुसलाया जाता है

क्लोपेट्रा सोशल इंजीनियरिंग रणनीतियों के ज़रिए फैलता है, और उपयोगकर्ताओं को आईपीटीवी स्ट्रीमिंग एप्लिकेशन जैसे हानिरहित टूल के रूप में दिखने वाले ड्रॉपर ऐप्स इंस्टॉल करने के लिए प्रेरित करता है। ये ऐप्स अविश्वसनीय स्रोतों से पायरेटेड सॉफ़्टवेयर इंस्टॉल करने की उपयोगकर्ताओं की इच्छा का फायदा उठाते हैं।

इंस्टॉल होने के बाद, ड्रॉपर अज्ञात स्रोतों से पैकेज इंस्टॉल करने की अनुमति मांगता है। फिर यह एम्बेडेड JSON पैकर से मुख्य क्लोपेट्रा पेलोड निकालता है। मैलवेयर इसके अतिरिक्त एंड्रॉइड एक्सेसिबिलिटी सेवाओं का भी अनुरोध करता है, जिन्हें विकलांग उपयोगकर्ताओं की सहायता के लिए डिज़ाइन किया गया है, लेकिन इनका दुरुपयोग इस प्रकार किया जा सकता है:

• स्क्रीन सामग्री पढ़ें
• कीस्ट्रोक्स रिकॉर्ड करें
• कार्यों को स्वायत्तता से निष्पादित करें

इससे हमलावरों को पीड़ित की जानकारी के बिना वित्तीय धोखाधड़ी करने का मौका मिल जाता है।

चुपके और लचीलेपन के लिए उन्नत वास्तुकला

क्लोपेट्रा अपने उन्नत, लचीले डिजाइन के कारण अलग दिखता है:

• विरबॉक्स एकीकरण मैलवेयर को विश्लेषण से बचाता है।
• अधिक गोपनीयता के लिए कोर कार्यों को जावा से मूल लाइब्रेरी में स्थानांतरित कर दिया गया।
• व्यापक कोड अस्पष्टीकरण, एंटी-डिबगिंग, तथा रनटाइम अखंडता जांच से पता लगाने में बाधा उत्पन्न होती है।

• ऑपरेटर्स को VNC के माध्यम से वास्तविक समय, विस्तृत नियंत्रण प्राप्त होता है, जिसमें निम्नलिखित क्षमताएं शामिल हैं:

• दुर्भावनापूर्ण गतिविधि को छिपाने के लिए काली स्क्रीन ओवरले प्रदर्शित करें।

• बैंकिंग लेनदेन गुप्त रूप से निष्पादित करें।

• लक्षित वित्तीय और क्रिप्टोकरेंसी ऐप्स को गतिशील रूप से नकली लॉगिन स्क्रीन प्रदान करें।

मैलवेयर पूर्व-स्थापित एंटीवायरस सॉफ़्टवेयर को भी निष्क्रिय कर देता है तथा समाप्ति को रोकने के लिए एक्सेसिबिलिटी सेवाओं का उपयोग करके इसकी अनुमतियों को बढ़ा सकता है।

धोखाधड़ी का निष्पादन और रणनीतिक समय

क्लोपेट्रा के संचालक एक सावधानीपूर्वक योजनाबद्ध हमले के क्रम का अनुसरण करते हैं:

• जांचें कि क्या डिवाइस चार्ज हो रहा है, स्क्रीन बंद है, और डिवाइस निष्क्रिय है।
• स्क्रीन की चमक को शून्य तक कम करें और एक काला ओवरले प्रदर्शित करें।
• बैंकिंग ऐप्स तक पहुंचने के लिए चुराए गए पिन या पैटर्न का उपयोग करें।
• बिना पता लगे कई त्वरित बैंक हस्तांतरण निष्पादित करें।

यह रात्रिकालीन रणनीति यह सुनिश्चित करती है कि उपकरण चालू रहें और उन पर कोई निगरानी न हो, जिससे हमलावरों को पीड़ितों के सोते समय काम करने का आदर्श समय मिल जाता है।

वित्तीय क्षेत्र पर प्रभाव

हालाँकि क्लोपेट्रा मोबाइल मैलवेयर का नया रूप नहीं देता, लेकिन यह खतरे की जटिलता में उल्लेखनीय वृद्धि दर्शाता है। व्यावसायिक स्तर की सुरक्षा और गुप्त रणनीति अपनाकर, ऑपरेटर अपने मुनाफे और परिचालन की अवधि दोनों को अधिकतम करते हैं।

गूगल ने पुष्टि की है कि गूगल प्ले पर कोई भी संक्रमित ऐप नहीं पाया गया है, लेकिन मैलवेयर की तीसरे पक्ष और पायरेटेड ऐप वितरण चैनलों पर निर्भरता मोबाइल उपयोगकर्ताओं के लिए जारी जोखिम को रेखांकित करती है।