Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Troianul bancar Klopatra

Troianul bancar Klopatra

Până în Mezo în Malware mobil, Troian bancar
Tradu in:

Un troian bancar Android necunoscut anterior, Klopatra, a compromis peste 3.000 de dispozitive, Spania și Italia fiind cele mai afectate. Descoperit la sfârșitul lunii august 2025 de cercetătorii din domeniul securității informațiilor, acest malware sofisticat combină capacitățile unui troian de acces la distanță (RAT) cu tehnici avansate de evitare a atacurilor, vizând informații financiare și permițând tranzacții frauduloase.

Tehnici sofisticate de atac și control de la distanță

Klopatra utilizează Hidden Virtual Network Computing (VNC) pentru a obține controlul de la distanță asupra dispozitivelor infectate. Folosește suprapuneri dinamice pentru a fura acreditări și a executa tranzacții neautorizate. Spre deosebire de programele malware mobile convenționale, Klopatra integrează biblioteci native și suita de protecție a codului Virbox de nivel comercial, ceea ce face extrem de dificilă detectarea și analiza.

Analiza infrastructurii de comandă și control (C2) a malware-ului și a indiciilor lingvistice indică faptul că un grup criminal vorbitor de limbă turcă operează Klopatra ca o botnet privată, în loc să o ofere ca un malware-as-a-service (MaaS) public. Din martie 2025, au fost identificate 40 de versiuni distincte ale troianului.

Cum sunt ademenite victimele

Klopatra se răspândește prin tactici de inginerie socială, păcălind utilizatorii să instaleze aplicații piratate care se deghizează în instrumente inofensive, cum ar fi aplicațiile de streaming IPTV. Aceste aplicații exploatează disponibilitatea utilizatorilor de a instala software piratat din surse nesigure.

Odată instalat, dropper-ul solicită permisiuni pentru a instala pachete din surse necunoscute. Apoi extrage sarcina utilă principală Klopatra dintr-un pachet JSON încorporat. În plus, malware-ul solicită servicii de accesibilitate Android, care, deși sunt concepute pentru a ajuta utilizatorii cu dizabilități, pot fi abuzate pentru:

  • Citiți conținutul ecranului
  • Înregistrați apăsările de taste
  • Execută acțiuni în mod autonom

Acest lucru permite atacatorilor să comită fraude financiare fără știrea victimei.

Arhitectură avansată pentru ascundere și reziliență

Klopatra se remarcă prin designul său avansat și rezistent:

  • Integrarea cu Virbox protejează malware-ul de analiză.
  • Funcțiile de bază s-au mutat de la Java la bibliotecile native pentru o ascundere sporită.
  • Obfuscarea extinsă a codului, verificările anti-depanare și de integritate la momentul rulării îngreunează detectarea.
  • Operatorii obțin control granular, în timp real, prin intermediul VNC, inclusiv capacitatea de a:
  • Afișează o suprapunere de ecran negru pentru a ascunde activitatea rău intenționată.
  • Execută tranzacții bancare în secret.
  • Livrați dinamic ecrane de conectare false către aplicații financiare și de criptomonedă vizate.

De asemenea, malware-ul dezactivează software-ul antivirus preinstalat și își poate escalada permisiunile folosind servicii de accesibilitate pentru a preveni terminarea programului.

Executarea fraudei și sincronizarea strategică

Operatorii Klopatra urmează o secvență de atac atent orchestrată:

  • Verificați dacă dispozitivul se încarcă, ecranul este oprit și dispozitivul este inactiv.
  • Reduceți luminozitatea ecranului la zero și afișați o suprapunere neagră.
  • Folosește PIN-uri sau modele furate pentru a accesa aplicațiile bancare.
  • Execută mai multe transferuri bancare instantanee fără a fi detectat.

Această strategie nocturnă asigură că dispozitivele rămân alimentate și nesupravegheate, oferind atacatorilor o fereastră ideală pentru a opera în timp ce victimele dorm.

Implicații pentru sectorul financiar

Deși Klopatra nu reinventează programele malware pentru dispozitive mobile, aceasta reprezintă o escaladare semnificativă a sofisticării amenințărilor. Prin adoptarea unor protecții de nivel comercial și a unor tactici de tip stealth, operatorii maximizează atât profitabilitatea, cât și durata de viață a operațiunilor lor.

Google a confirmat că nu au fost găsite aplicații infectate pe Google Play, însă dependența malware-ului de canalele de distribuție ale aplicațiilor terțe și piratate subliniază riscul continuu pentru utilizatorii de dispozitive mobile.

Trending

Cele mai văzute

Se încarcă...