Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel Trojan bancário Klopatra

Trojan bancário Klopatra

Por Mezo em Malware móvel, Trojan Bancário
Traduzir Para:

Um trojan bancário Android até então desconhecido, o Klopatra, comprometeu mais de 3.000 dispositivos, sendo a Espanha e a Itália os mais afetados. Descoberto no final de agosto de 2025 por pesquisadores de segurança da informação, esse malware sofisticado combina recursos de trojan de acesso remoto (RAT) com técnicas avançadas de evasão, visando informações financeiras e possibilitando transações fraudulentas.

Técnicas de Ataque Sofisticadas e Controle Remoto

O Klopatra utiliza a computação de rede virtual oculta (VNC) para obter controle remoto de dispositivos infectados. Ele utiliza sobreposições dinâmicas para roubar credenciais e executar transações não autorizadas. Ao contrário do malware móvel convencional, o Klopatra integra bibliotecas nativas e o pacote de proteção de código Virbox de nível comercial, tornando a detecção e a análise extremamente difíceis.

A análise da infraestrutura de Comando e Controle (C2) do malware e das pistas linguísticas indica que um grupo criminoso de língua turca opera o Klopatra como uma botnet privada, em vez de oferecê-lo como um malware como serviço (MaaS) público. Desde março de 2025, 40 versões distintas do trojan foram identificadas.

Como as vítimas são atraídas

O Klopatra se espalha por meio de táticas de engenharia social, enganando os usuários e levando-os a instalar aplicativos dropper que se disfarçam de ferramentas inofensivas, como aplicativos de streaming de IPTV. Esses aplicativos exploram a propensão dos usuários a instalar softwares piratas de fontes não confiáveis.

Uma vez instalado, o dropper solicita permissões para instalar pacotes de fontes desconhecidas. Em seguida, ele extrai o payload principal do Klopatra de um JSON Packer incorporado. O malware também solicita serviços de acessibilidade do Android, que, embora projetados para auxiliar usuários com deficiência, podem ser usados para:

  • Ler conteúdo da tela
  • Gravar pressionamentos de tecla
  • Executar ações de forma autônoma

Isso permite que invasores realizem fraudes financeiras sem o conhecimento da vítima.

Arquitetura Avançada para Furtividade e Resiliência

O Klopatra se destaca pelo seu design avançado e resiliente:

  • A integração com o Virbox protege o malware da análise.
  • Funções principais transferidas do Java para bibliotecas nativas para maior discrição.
  • Extensa ofuscação de código, antidepuração e verificações de integridade de tempo de execução dificultam a detecção.
  • Os operadores obtêm controle granular em tempo real via VNC, incluindo a capacidade de:
  • Exiba uma sobreposição de tela preta para ocultar atividades maliciosas.
  • Executar transações bancárias secretamente.
  • Entregue dinamicamente telas de login falsas para aplicativos financeiros e de criptomoedas direcionados.

O malware também desabilita o software antivírus pré-instalado e pode aumentar suas permissões usando serviços de acessibilidade para evitar o encerramento.

Execução de Fraude e Cronometragem Estratégica

Os operadores de Klopatra seguem uma sequência de ataque cuidadosamente orquestrada:

  • Verifique se o dispositivo está carregando, se a tela está desligada e se o dispositivo está ocioso.
  • Reduza o brilho da tela para zero e exiba uma sobreposição preta.
  • Use PINs ou padrões roubados para acessar aplicativos bancários.
  • Execute várias transferências bancárias instantâneas sem ser detectado.

Essa estratégia noturna garante que os dispositivos permaneçam ligados e sem supervisão, dando aos invasores uma janela ideal para operar enquanto as vítimas dormem.

Implicações para o setor financeiro

Embora a Klopatra não reinvente o malware móvel, ela representa um aumento significativo na sofisticação das ameaças. Ao adotar proteções de nível comercial e táticas furtivas, as operadoras maximizam a lucratividade e a vida útil de suas operações.

O Google confirmou que nenhum aplicativo infectado foi encontrado no Google Play, mas a dependência do malware em canais de distribuição de aplicativos piratas e de terceiros ressalta o risco contínuo para usuários de dispositivos móveis.

Tendendo

Mais visto

Carregando...