Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Trojan bankowy Klopatra

Trojan bankowy Klopatra

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Nieznany wcześniej trojan bankowy na Androida, Klopatra, zainfekował ponad 3000 urządzeń, z czego najbardziej ucierpiały Hiszpania i Włochy. Odkryty pod koniec sierpnia 2025 roku przez badaczy bezpieczeństwa informacji, ten zaawansowany malware łączy możliwości trojana zdalnego dostępu (RAT) z zaawansowanymi technikami unikania, atakując dane finansowe i umożliwiając dokonywanie oszukańczych transakcji.

Wyrafinowane techniki ataku i zdalne sterowanie

Klopatra wykorzystuje technologię Hidden Virtual Network Computing (VNC), aby uzyskać zdalną kontrolę nad zainfekowanymi urządzeniami. Używa dynamicznych nakładek do kradzieży danych uwierzytelniających i wykonywania nieautoryzowanych transakcji. W przeciwieństwie do konwencjonalnego złośliwego oprogramowania mobilnego, Klopatra integruje biblioteki natywne i komercyjny pakiet ochrony kodu Virbox, co znacznie utrudnia wykrycie i analizę.

Analiza infrastruktury Command-and-Control (C2) złośliwego oprogramowania oraz wskazówki językowe wskazują, że tureckojęzyczna grupa przestępcza obsługuje Klopatra jako prywatny botnet, a nie oferuje go jako publicznego oprogramowania jako usługi (MaaS). Od marca 2025 roku zidentyfikowano 40 różnych wersji tego trojana.

Jak zwabia się ofiary

Klopatra rozprzestrzenia się za pomocą taktyk socjotechnicznych, nakłaniając użytkowników do instalowania aplikacji typu dropper, które podszywają się pod nieszkodliwe narzędzia, takie jak aplikacje do streamingu IPTV. Aplikacje te wykorzystują gotowość użytkowników do instalowania pirackiego oprogramowania z niezaufanych źródeł.

Po zainstalowaniu dropper żąda uprawnień do instalowania pakietów z nieznanych źródeł. Następnie wyodrębnia główny ładunek Klopatra z osadzonego narzędzia JSON Packer. Szkodliwe oprogramowanie dodatkowo żąda usług ułatwień dostępu Androida, które, choć zaprojektowane z myślą o użytkownikach z niepełnosprawnościami, mogą być wykorzystywane do:

  • Przeczytaj zawartość ekranu
  • Nagrywaj naciśnięcia klawiszy
  • Wykonuj czynności autonomicznie

Umożliwia to atakującym dokonywanie oszustw finansowych bez wiedzy ofiary.

Zaawansowana architektura zapewniająca ukrycie i odporność

Klopatra wyróżnia się zaawansowaną i wytrzymałą konstrukcją:

  • Integracja z Virbox chroni złośliwe oprogramowanie przed analizą.
  • Główne funkcje zostały przeniesione z Javy do bibliotek natywnych w celu zwiększenia ich anonimowości.
  • Rozległe zaciemnianie kodu, zapobieganie debugowaniu i sprawdzanie integralności środowiska wykonawczego utrudniają wykrycie.
  • Operatorzy zyskują szczegółową kontrolę w czasie rzeczywistym za pośrednictwem VNC, co obejmuje możliwość:
  • Wyświetlaj czarną nakładkę ekranową, aby ukryć szkodliwą aktywność.
  • Wykonywać transakcje bankowe w tajemnicy.
  • Dynamicznie dostarczaj fałszywe ekrany logowania do wybranych aplikacji finansowych i kryptowalutowych.

Szkodliwe oprogramowanie wyłącza również preinstalowane oprogramowanie antywirusowe i może rozszerzyć jego uprawnienia, korzystając z usług ułatwień dostępu, aby zapobiec jego zamknięciu.

Realizacja oszustw i strategiczny czas realizacji

Operatorzy Klopatry realizują starannie zaplanowaną sekwencję ataku:

  • Sprawdź, czy urządzenie się ładuje, ekran jest wyłączony i urządzenie nie jest używane.
  • Zmniejsz jasność ekranu do zera i wyświetl czarną nakładkę.
  • Korzystaj z kradzionych kodów PIN lub wzorów, aby uzyskać dostęp do aplikacji bankowych.
  • Wykonuj wiele natychmiastowych przelewów bankowych, nie będąc wykrytym.

Taka strategia nocna zapewnia, że urządzenia pozostają włączone i bez nadzoru, dając atakującym idealne okno na przeprowadzenie ataku, podczas gdy ofiary śpią.

Konsekwencje dla sektora finansowego

Chociaż Klopatra nie rewolucjonizuje mobilnego złośliwego oprogramowania, to jednak stanowi znaczący krok naprzód w dziedzinie zagrożeń. Stosując zabezpieczenia klasy komercyjnej i taktyki stealth, operatorzy maksymalizują zarówno rentowność, jak i żywotność swoich operacji.

Google potwierdziło, że w sklepie Google Play nie znaleziono żadnych zainfekowanych aplikacji, jednak fakt, że złośliwe oprogramowanie wykorzystuje kanały dystrybucji aplikacji innych firm i pirackich, podkreśla ciągłe ryzyko dla użytkowników urządzeń mobilnych.

Popularne

Najczęściej oglądane

Ładowanie...