Trojan Perbankan Klopatra
Trojan perbankan Android yang tidak dikenali sebelum ini, Klopatra, telah menjejaskan lebih 3,000 peranti, dengan Sepanyol dan Itali menjadi yang paling teruk terjejas. Ditemui pada penghujung Ogos 2025 oleh penyelidik infosec, perisian hasad yang canggih ini menggabungkan keupayaan trojan akses jauh (RAT) dengan teknik pengelakan lanjutan, menyasarkan maklumat kewangan dan membolehkan transaksi penipuan.
Isi kandungan
Teknik Serangan Canggih dan Alat Kawalan Jauh
Klopatra memanfaatkan Pengkomputeran Rangkaian Maya Tersembunyi (VNC) untuk mendapatkan kawalan jauh peranti yang dijangkiti. Ia menggunakan tindanan dinamik untuk mencuri bukti kelayakan dan melaksanakan transaksi yang tidak dibenarkan. Tidak seperti perisian hasad mudah alih konvensional, Klopatra menyepadukan perpustakaan asli dan suite perlindungan kod Virbox gred komersial, menjadikan pengesanan dan analisis amat sukar.
Analisis terhadap infrastruktur Perintah-dan-Kawalan (C2) perisian hasad dan petunjuk linguistik menunjukkan kumpulan penjenayah berbahasa Turki mengendalikan Klopatra sebagai botnet peribadi, dan bukannya menawarkannya sebagai perisian hasad awam sebagai perkhidmatan (MaaS). Sejak Mac 2025, 40 binaan trojan yang berbeza telah dikenal pasti.
Bagaimana Mangsa Dipikat
Klopatra merebak melalui taktik kejuruteraan sosial, memperdaya pengguna untuk memasang aplikasi penitis yang menyamar sebagai alat yang tidak berbahaya, seperti aplikasi penstriman IPTV. Apl ini mengeksploitasi kesediaan pengguna untuk memasang perisian cetak rompak daripada sumber yang tidak dipercayai.
Setelah dipasang, penitis meminta kebenaran untuk memasang pakej daripada sumber yang tidak diketahui. Ia kemudian mengekstrak muatan Klopatra utama daripada JSON Packer yang dibenamkan. Perisian hasad juga meminta perkhidmatan kebolehaksesan Android, yang, walaupun direka untuk membantu pengguna kurang upaya, boleh disalahgunakan untuk:
- Baca kandungan skrin
- Rakam ketukan kekunci
- Melaksanakan tindakan secara autonomi
Ini membolehkan penyerang melakukan penipuan kewangan tanpa pengetahuan mangsa.
Seni Bina Termaju untuk Ketenangan dan Ketahanan
Klopatra menonjol kerana reka bentuknya yang canggih dan berdaya tahan:
- Penyepaduan Virbox melindungi perisian hasad daripada analisis.
- Fungsi teras beralih dari Java ke perpustakaan asli untuk peningkatan stealth.
- Kekeliruan kod yang meluas, anti-debug dan pemeriksaan integriti masa jalan menghalang pengesanan.
- Operator mendapat kawalan masa nyata, berbutir melalui VNC, termasuk keupayaan untuk:
- Layankan tindanan skrin hitam untuk menyembunyikan aktiviti berniat jahat.
- Melaksanakan transaksi perbankan secara rahsia.
- Hantarkan skrin log masuk palsu secara dinamik kepada apl kewangan dan mata wang kripto yang disasarkan.
Perisian hasad juga melumpuhkan perisian antivirus yang diprapasang dan boleh meningkatkan kebenarannya menggunakan perkhidmatan kebolehaksesan untuk mengelakkan penamatan.
Pelaksanaan Penipuan dan Masa Strategik
Pengendali Klopatra mengikut urutan serangan yang dirancang dengan teliti:
- Periksa sama ada peranti sedang mengecas, skrin dimatikan dan peranti melahu.
- Kurangkan kecerahan skrin kepada sifar dan paparkan tindanan hitam.
- Gunakan PIN atau corak yang dicuri untuk mengakses apl perbankan.
- Laksanakan berbilang pindahan bank segera tanpa dikesan.
Strategi waktu malam ini memastikan peranti kekal berkuasa dan tanpa pengawasan, memberikan penyerang tetingkap yang ideal untuk beroperasi semasa mangsa tidur.
Implikasi kepada Sektor Kewangan
Walaupun Klopatra tidak mencipta semula perisian hasad mudah alih, ia mewakili peningkatan ketara dalam kecanggihan ancaman. Dengan mengguna pakai perlindungan gred komersial dan taktik bersembunyi, pengendali memaksimumkan kedua-dua keuntungan dan jangka hayat operasi mereka.
Google telah mengesahkan bahawa tiada apl yang dijangkiti ditemui di Google Play, tetapi pergantungan perisian hasad pada saluran pengedaran apl pihak ketiga dan cetak rompak menggariskan risiko berterusan kepada pengguna mudah alih.
