Kopatra bankarski trojanac
Prije nepoznati Android bankarski trojanac, Klopatra, kompromitirao je preko 3000 uređaja, a Španjolska i Italija su najteže pogođene. Otkriven krajem kolovoza 2025. od strane istraživača informacijske sigurnosti, ovaj sofisticirani zlonamjerni softver kombinira mogućnosti trojanca za udaljeni pristup (RAT) s naprednim tehnikama izbjegavanja, ciljajući financijske informacije i omogućujući lažne transakcije.
Sadržaj
Sofisticirane tehnike napada i daljinsko upravljanje
Kopatra koristi skriveno virtualno mrežno računalstvo (VNC) za daljinsko upravljanje zaraženim uređajima. Koristi dinamičke slojeve za krađu vjerodajnica i izvršavanje neovlaštenih transakcija. Za razliku od konvencionalnog mobilnog zlonamjernog softvera, Kopatra integrira izvorne biblioteke i komercijalni paket zaštite koda Virbox, što otkrivanje i analizu čini izuzetno teškim.
Analiza infrastrukture za upravljanje i kontrolu (C2) zlonamjernog softvera i lingvističkih tragova ukazuje na to da turskogovorna kriminalna skupina upravlja Klopatrom kao privatnim botnetom, umjesto da ga nudi kao javni zlonamjerni softver kao uslugu (MaaS). Od ožujka 2025. identificirano je 40 različitih verzija trojanca.
Kako se žrtve namamljuju
Kopatra se širi taktikama društvenog inženjeringa, varajući korisnike da instaliraju aplikacije za preuzimanje koje se maskiraju kao bezopasni alati, poput IPTV streaming aplikacija. Ove aplikacije iskorištavaju spremnost korisnika da instaliraju piratski softver iz nepouzdanih izvora.
Nakon instalacije, dropper traži dopuštenja za instaliranje paketa iz nepoznatih izvora. Zatim izdvaja glavni Klopatra payload iz ugrađenog JSON Packera. Zlonamjerni softver dodatno zahtijeva Android usluge pristupačnosti, koje, iako su dizajnirane za pomoć korisnicima s invaliditetom, mogu se zloupotrijebiti za:
- Čitanje sadržaja zaslona
- Snimanje pritisaka tipki
- Autonomno izvršavajte radnje
To omogućuje napadačima da izvrše financijsku prijevaru bez znanja žrtve.
Napredna arhitektura za prikrivenost i otpornost
Kopatra se ističe svojim naprednim, otpornim dizajnom:
- Integracija s Virboxom štiti zlonamjerni softver od analize.
- Osnovne funkcije prebačene su iz Jave u izvorne biblioteke radi veće prikrivenosti.
- Opsežno zamagljivanje koda, provjere protiv otklanjanja pogrešaka i provjere integriteta tijekom izvođenja otežavaju otkrivanje.
- Operateri dobivaju detaljnu kontrolu u stvarnom vremenu putem VNC-a, uključujući mogućnost:
- Poslužite crni ekran kako biste sakrili zlonamjerne aktivnosti.
- Tajno obavljajte bankovne transakcije.
- Dinamički isporučujte lažne ekrane za prijavu ciljanim financijskim i kriptovalutnim aplikacijama.
Zlonamjerni softver također onemogućuje unaprijed instalirani antivirusni softver i može povećati njegova dopuštenja koristeći usluge pristupačnosti kako bi spriječio prekid rada.
Izvršenje prijevare i strateški tajming
Klopatrini operateri slijede pažljivo orkestrirani slijed napada:
- Provjerite puni li se uređaj, je li zaslon isključen i je li uređaj u stanju mirovanja.
- Smanjite svjetlinu zaslona na nulu i prikažite crni sloj.
- Koristite ukradene PIN-ove ili uzorke za pristup bankarskim aplikacijama.
- Neotkriveno izvršite više trenutnih bankovnih transfera.
Ova noćna strategija osigurava da uređaji ostanu uključeni i bez nadzora, dajući napadačima idealan prozor za djelovanje dok žrtve spavaju.
Implikacije za financijski sektor
Iako Kopatra ne reinventira mobilni zlonamjerni softver, predstavlja značajno povećanje sofisticiranosti prijetnji. Usvajanjem komercijalne zaštite i taktika prikrivanja, operateri maksimiziraju profitabilnost i vijek trajanja svog poslovanja.
Google je potvrdio da na Google Playu nisu pronađene zaražene aplikacije, ali ovisnost zlonamjernog softvera o kanalima distribucije trećih strana i piratskih aplikacija naglašava stalni rizik za mobilne korisnike.
