Klopatra banku Trojas zirgs
Iepriekš nezināms Android banku Trojas zirgs Klopatra ir apdraudējis vairāk nekā 3000 ierīču, visvairāk skarot Spāniju un Itāliju. Šo sarežģīto ļaunprogrammatūru 2025. gada augusta beigās atklāja informācijas drošības pētnieki, un tā apvieno attālās piekļuves Trojas zirga (RAT) iespējas ar modernām krāpšanas metodēm, mērķējot uz finanšu informāciju un nodrošinot krāpnieciskus darījumus.
Satura rādītājs
Izsmalcinātas uzbrukuma tehnikas un tālvadība
Klopatra izmanto slēpto virtuālo tīkla skaitļošanu (VNC), lai iegūtu attālinātu inficēto ierīču kontroli. Tā izmanto dinamiskus pārklājumus, lai nozagtu akreditācijas datus un veiktu neatļautas transakcijas. Atšķirībā no parastās mobilo ierīču ļaunprogrammatūras, Klopatra integrē vietējās bibliotēkas un komerciālās klases Virbox koda aizsardzības komplektu, padarot atklāšanu un analīzi ārkārtīgi sarežģītu.
Ļaunprogrammatūras vadības un kontroles (C2) infrastruktūras un lingvistisko norāžu analīze liecina, ka turku valodā runājoša noziedzīga grupa Klopatra pārvalda kā privātu botnetu, nevis piedāvā to kā publisku ļaunprogrammatūru kā pakalpojumu (MaaS). Kopš 2025. gada marta ir identificētas 40 dažādas Trojas zirga versijas.
Kā upuri tiek pievilināti
Klopatra izplatās, izmantojot sociālās inženierijas taktiku, maldinot lietotājus instalēt tādas dropper lietotnes, kas maskējas kā nekaitīgi rīki, piemēram, IPTV straumēšanas lietotnes. Šīs lietotnes izmanto lietotāju vēlmi instalēt pirātisku programmatūru no neuzticamiem avotiem.
Pēc instalēšanas dropper pieprasa atļaujas instalēt pakotnes no nezināmiem avotiem. Pēc tam tas izvelk galveno Klopatra vērtumu no iegultā JSON pakotāja. Ļaunprogramma papildus pieprasa Android pieejamības pakalpojumus, kas, lai gan ir paredzēti, lai palīdzētu lietotājiem ar invaliditāti, var tikt ļaunprātīgi izmantoti, lai:
- Lasīt ekrāna saturu
- Ierakstīt taustiņsitienus
- Veikt darbības autonomi
Tas ļauj uzbrucējiem veikt finanšu krāpniecību bez upura ziņas.
Uzlabota arhitektūra slepenībai un noturībai
Klopatra izceļas ar savu progresīvo, izturīgo dizainu:
- Virbox integrācija aizsargā ļaunprogrammatūru no analīzes.
- Pamatfunkcijas tika pārvietotas no Java uz vietējām bibliotēkām, lai uzlabotu slepenību.
- Plaša koda slēpšana, atkļūdošanas novēršana un izpildlaika integritātes pārbaudes kavē atklāšanu.
- Operatori iegūst reāllaika, detalizētu kontroli, izmantojot VNC, tostarp iespēju:
- Pasniedziet melna ekrāna pārklājumu, lai paslēptu ļaunprātīgu darbību.
- Veikt bankas operācijas slepeni.
- Dinamiski piegādāt viltotus pieteikšanās ekrānus mērķtiecīgām finanšu un kriptovalūtu lietotnēm.
Ļaunprogrammatūra arī atspējo iepriekš instalētu pretvīrusu programmatūru un var palielināt tās atļaujas, izmantojot pieejamības pakalpojumus, lai novērstu tās darbības pārtraukšanu.
Krāpšanas izpilde un stratēģiskais laika plānojums
Klopatras operatori ievēro rūpīgi izstrādātu uzbrukuma secību:
- Pārbaudiet, vai ierīce uzlādējas, ekrāns ir izslēgts un ierīce ir dīkstāvē.
- Samaziniet ekrāna spilgtumu līdz nullei un parādiet melnu pārklājumu.
- Izmantojiet nozagtus PIN kodus vai kombinācijas, lai piekļūtu banku lietotnēm.
- Veiciet vairākus tūlītējus bankas pārskaitījumus nemanīti.
Šī nakts stratēģija nodrošina, ka ierīces paliek ieslēgtas un bez uzraudzības, dodot uzbrucējiem ideālu laiku darboties, kamēr upuri guļ.
Ietekme uz finanšu sektoru
Lai gan Klopatra nepārveido mobilo ierīču ļaunprogrammatūru, tā ievērojami palielina apdraudējumu sarežģītību. Izmantojot komerciālas klases aizsardzību un slepenības taktiku, operatori maksimāli palielina gan rentabilitāti, gan savu darbību ilgmūžību.
Google ir apstiprinājis, ka pakalpojumā Google Play nav atrastas inficētas lietotnes, taču ļaunprogrammatūras atkarība no trešo pušu un pirātisku lietotņu izplatīšanas kanāliem uzsver pastāvīgo risku mobilo ierīču lietotājiem.
