Скидка на мультилицензию
База данных угроз Вредоносное ПО для мобильных устройств Банковский троян Klopatra

Банковский троян Klopatra

К Mezo году в Вредоносное ПО для мобильных устройств, Банковский троян году
Перевести на:

Ранее неизвестный банковский троян для Android Klopatra заразил более 3000 устройств, наиболее пострадавшими оказались Испания и Италия. Этот сложный вредоносный код, обнаруженный в конце августа 2025 года специалистами по информационной безопасности, сочетает в себе возможности трояна удалённого доступа (RAT) с передовыми методами обхода системы безопасности, похищая финансовую информацию и позволяя проводить мошеннические транзакции.

Изощренные методы атак и удаленное управление

Klopatra использует технологию скрытых виртуальных сетевых вычислений (VNC) для удалённого управления заражёнными устройствами. Он использует динамические оверлеи для кражи учётных данных и выполнения несанкционированных транзакций. В отличие от традиционных мобильных вредоносных программ, Klopatra интегрирует собственные библиотеки и коммерческий пакет защиты кода Virbox, что крайне затрудняет обнаружение и анализ.

Анализ инфраструктуры командно-управляющего центра (C2) вредоносной программы и лингвистических подсказок указывает на то, что турецкоязычная преступная группировка использует Klopatra как частный ботнет, а не предлагает его как публичную услугу по предоставлению вредоносного ПО как услуги (MaaS). С марта 2025 года было выявлено 40 различных сборок этого трояна.

Как заманивают жертв

Klopatra распространяется с помощью социальной инженерии, обманным путём заставляя пользователей устанавливать приложения-дропперы, маскирующиеся под безобидные инструменты, например, приложения для потоковой передачи IPTV. Эти приложения эксплуатируют желание пользователей устанавливать пиратское ПО из ненадежных источников.

После установки дроппер запрашивает разрешения на установку пакетов из неизвестных источников. Затем он извлекает основную полезную нагрузку Klopatra из встроенного JSON-упаковщика. Вредоносная программа также запрашивает доступ к службам доступности Android, которые, хотя и разработаны для помощи пользователям с ограниченными возможностями, могут быть использованы для:

  • Прочитать содержимое экрана
  • Запись нажатий клавиш
  • Выполнять действия автономно

Это позволяет злоумышленникам совершать финансовые мошенничества без ведома жертвы.

Усовершенствованная архитектура для скрытности и устойчивости

Klopatra выделяется благодаря своей усовершенствованной, устойчивой конструкции:

  • Интеграция Virbox защищает вредоносное ПО от анализа.
  • Основные функции перенесены из Java в собственные библиотеки для повышения скрытности.
  • Обширная обфускация кода, антиотладка и проверки целостности во время выполнения затрудняют обнаружение.
  • Операторы получают детальный контроль в режиме реального времени с помощью VNC, включая возможность:
  • Показывать черный экран для сокрытия вредоносной активности.
  • Осуществлять банковские операции тайно.
  • Динамически создавайте поддельные экраны входа в целевые финансовые и криптовалютные приложения.

Вредоносное ПО также отключает предустановленное антивирусное программное обеспечение и может повышать свои разрешения с помощью служб специальных возможностей, чтобы предотвратить завершение работы.

Осуществление мошенничества и стратегический выбор времени

Оперативники Клопатры следуют тщательно спланированной последовательности атак:

  • Проверьте, заряжается ли устройство, выключен ли экран и находится ли устройство в режиме ожидания.
  • Уменьшите яркость экрана до нуля и отобразите черный слой.
  • Используйте украденные PIN-коды или графические ключи для доступа к банковским приложениям.
  • Осуществляйте множество мгновенных банковских переводов незаметно.

Такая ночная стратегия гарантирует, что устройства останутся включенными и без присмотра, предоставляя злоумышленникам идеальное время для действий, пока жертвы спят.

Последствия для финансового сектора

Хотя Klopatra не изобретает мобильные вредоносные программы заново, она представляет собой значительный шаг вперёд в плане сложности угроз. Внедряя средства защиты коммерческого уровня и тактику скрытности, операторы максимизируют как прибыльность, так и продолжительность своей деятельности.

Компания Google подтвердила, что в Google Play не обнаружено зараженных приложений, однако зависимость вредоносного ПО от сторонних и пиратских каналов распространения приложений подчеркивает сохраняющийся риск для мобильных пользователей.

В тренде

Наиболее просматриваемые

Загрузка...