Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Trojan bancario Klopatra

Trojan bancario Klopatra

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

Klopatra, un trojan bancario Android precedentemente sconosciuto, ha compromesso oltre 3.000 dispositivi, con Spagna e Italia tra i paesi più colpiti. Scoperto a fine agosto 2025 da ricercatori di sicurezza informatica, questo sofisticato malware combina le funzionalità di un trojan di accesso remoto (RAT) con tecniche di evasione avanzate, prendendo di mira le informazioni finanziarie e consentendo transazioni fraudolente.

Tecniche di attacco sofisticate e controllo remoto

Klopatra sfrutta la tecnologia Hidden Virtual Network Computing (VNC) per ottenere il controllo remoto dei dispositivi infetti. Utilizza overlay dinamici per rubare credenziali ed eseguire transazioni non autorizzate. A differenza dei malware mobili convenzionali, Klopatra integra librerie native e la suite di protezione del codice Virbox di livello commerciale, rendendo estremamente difficili il rilevamento e l'analisi.

L'analisi dell'infrastruttura di comando e controllo (C2) del malware e degli indizi linguistici indica che un gruppo criminale di lingua turca gestisce Klopatra come una botnet privata, anziché offrirla come un malware-as-a-service (MaaS) pubblico. Da marzo 2025, sono state identificate 40 diverse build del trojan.

Come vengono attirate le vittime

Klopatra si diffonde tramite tattiche di ingegneria sociale, inducendo gli utenti a installare app dropper che si mascherano da strumenti innocui, come le applicazioni di streaming IPTV. Queste app sfruttano la propensione degli utenti a installare software piratato da fonti non attendibili.

Una volta installato, il dropper richiede l'autorizzazione per installare pacchetti da fonti sconosciute. Quindi estrae il payload principale di Klopatra da un JSON Packer incorporato. Il malware richiede inoltre i servizi di accessibilità Android che, sebbene progettati per assistere gli utenti con disabilità, possono essere utilizzati impropriamente per:

  • Leggi il contenuto dello schermo
  • Registrare le sequenze di tasti
  • Eseguire azioni in modo autonomo

Ciò consente agli aggressori di commettere frodi finanziarie all'insaputa della vittima.

Architettura avanzata per furtività e resilienza

Klopatra si distingue per il suo design avanzato e resistente:

  • L'integrazione con Virbox protegge il malware dall'analisi.
  • Le funzioni principali sono state spostate da Java alle librerie native per una maggiore discrezione.
  • L'offuscamento esteso del codice, i controlli anti-debug e di integrità in fase di esecuzione ostacolano il rilevamento.
  • Gli operatori ottengono un controllo granulare in tempo reale tramite VNC, inclusa la possibilità di:
  • Visualizza una schermata nera sovrapposta per nascondere attività dannose.
  • Eseguire transazioni bancarie in segreto.
  • Fornire in modo dinamico schermate di accesso false ad app finanziarie e di criptovalute mirate.

Il malware disattiva anche il software antivirus preinstallato e può aumentare le sue autorizzazioni utilizzando i servizi di accessibilità per impedirne la chiusura.

Esecuzione delle frodi e tempistica strategica

Gli operatori di Klopatra seguono una sequenza di attacco attentamente orchestrata:

  • Controlla se il dispositivo è in carica, lo schermo è spento e il dispositivo è inattivo.
  • Ridurre la luminosità dello schermo a zero e visualizzare una sovrapposizione nera.
  • Utilizzare PIN o sequenze rubate per accedere alle app bancarie.
  • Eseguire più bonifici bancari istantanei senza essere scoperti.

Questa strategia notturna garantisce che i dispositivi rimangano alimentati e incustoditi, offrendo agli aggressori una finestra ideale per agire mentre le vittime dormono.

Implicazioni per il settore finanziario

Sebbene Klopatra non reinventi il malware mobile, rappresenta un significativo passo avanti nella sofisticazione delle minacce. Adottando protezioni di livello commerciale e tattiche stealth, gli operatori massimizzano sia la redditività che la durata delle loro operazioni.

Google ha confermato che non sono state trovate app infette su Google Play, ma il fatto che il malware si affidi a canali di distribuzione di app pirata e di terze parti sottolinea il rischio costante per gli utenti di dispositivi mobili.

Tendenza

I più visti

Caricamento in corso...