Bankininkystės Trojos arklys „Klopatra“
Anksčiau nežinomas „Android“ bankininkystės Trojos arklys „Klopatra“ užkrėtė daugiau nei 3000 įrenginių, o labiausiai nukentėjo Ispanija ir Italija. Ši sudėtinga kenkėjiška programa, kurią 2025 m. rugpjūčio pabaigoje aptiko informacijos saugumo tyrėjai, derina nuotolinės prieigos Trojos arklio (RAT) galimybes su pažangiomis apėjimo technikomis, taikydamasis į finansinę informaciją ir sudarydamas sąlygas nesąžiningoms operacijoms.
Turinys
Sudėtingos atakos technikos ir nuotolinis valdymas
„Klopatra“ naudoja paslėptą virtualų tinklo skaičiavimą (VNC), kad galėtų nuotoliniu būdu valdyti užkrėstus įrenginius. Ji naudoja dinaminius perdengimus, kad pavogtų kredencialus ir vykdytų neteisėtas operacijas. Skirtingai nuo įprastos mobiliųjų įrenginių kenkėjiškos programos, „Klopatra“ integruoja vietines bibliotekas ir komercinės klasės „Virbox“ kodo apsaugos paketą, todėl aptikimą ir analizę labai sunku.
Kenkėjiškos programos valdymo ir kontrolės (C2) infrastruktūros ir kalbinių užuominų analizė rodo, kad turkiškai kalbanti nusikalstama grupuotė „Klopatra“ valdo kaip privatų botnetą, o ne siūlo jį kaip viešą kenkėjišką programą kaip paslaugą (MaaS). Nuo 2025 m. kovo mėn. buvo identifikuota 40 skirtingų Trojos arklio versijų.
Kaip aukos yra priviliojamos
„Klopatra“ plinta socialinės inžinerijos taktikos pagalba, apgaule priversdama vartotojus įdiegti programas, kurios apsimeta nekenksmingais įrankiais, pavyzdžiui, IPTV transliacijos programas. Šios programos išnaudoja vartotojų norą diegti piratinę programinę įrangą iš nepatikimų šaltinių.
Įdiegus, kenkėjiška programa prašo leidimų diegti paketus iš nežinomų šaltinių. Tada ji išgauna pagrindinę „Klopatra“ informaciją iš įterptojo JSON pakuotojo. Kenkėjiška programa taip pat prašo „Android“ pritaikymo neįgaliesiems paslaugų, kurios, nors ir skirtos padėti neįgaliesiems vartotojams, gali būti naudojamos piktnaudžiaujant:
- Skaityti ekrano turinį
- Įrašyti klavišų paspaudimus
- Vykdyti veiksmus savarankiškai
Tai leidžia užpuolikams vykdyti finansinę sukčiavimą be aukos žinios.
Pažangi architektūra slaptumui ir atsparumui užtikrinti
„Klopatra“ išsiskiria savo pažangiu ir atspariu dizainu:
- „Virbox“ integracija apsaugo kenkėjiškas programas nuo analizės.
- Pagrindinės funkcijos perkeltos iš „Java“ į vietines bibliotekas, siekiant didesnio slaptumo.
- Platus kodo klaidinimas, apsauga nuo derinimo ir vykdymo laiko vientisumo patikrinimai trukdo aptikti.
Kenkėjiška programa taip pat išjungia iš anksto įdiegtą antivirusinę programinę įrangą ir gali padidinti jos teises naudodama pritaikymo neįgaliesiems paslaugas, kad būtų išvengta nutraukimo.
Sukčiavimo vykdymas ir strateginis laiko planavimas
Klopatros operatoriai laikosi kruopščiai suplanuotos atakų sekos:
- Patikrinkite, ar įrenginys kraunasi, ar ekranas išjungtas ir ar įrenginys nenaudojamas.
- Sumažinkite ekrano ryškumą iki nulio ir rodykite juodą perdengimą.
- Norėdami pasiekti bankininkystės programas, naudokite pavogtus PIN kodus arba šablonus.
- Atlikite kelis momentinius banko pavedimus nepastebimai.
Ši nakties strategija užtikrina, kad įrenginiai liktų maitinami ir be priežiūros, suteikdama užpuolikams idealų laiko veikti, kol aukos miega.
Poveikis finansų sektoriui
Nors „Klopatra“ neišradinėja mobiliųjų įrenginių kenkėjiškų programų iš naujo, ji žymiai padidina grėsmių sudėtingumą. Įdiegę komercinės klasės apsaugą ir slaptą taktiką, operatoriai maksimaliai padidina pelningumą ir savo veiklos trukmę.
„Google“ patvirtino, kad „Google Play“ nerasta užkrėstų programėlių, tačiau kenkėjiškų programų priklausomybė nuo trečiųjų šalių ir piratinių programėlių platinimo kanalų pabrėžia nuolatinę riziką mobiliųjų įrenginių vartotojams.
