Bankový trójsky kôň Klopatra
Doteraz neznámy bankový trójsky kôň pre Android s názvom Klopatra napadol viac ako 3 000 zariadení, pričom najviac postihnuté boli Španielsko a Taliansko. Tento sofistikovaný malvér, ktorý koncom augusta 2025 objavili výskumníci v oblasti informačnej bezpečnosti, kombinuje schopnosti trójskeho koňa pre vzdialený prístup (RAT) s pokročilými technikami úniku, pričom sa zameriava na finančné informácie a umožňuje podvodné transakcie.
Obsah
Sofistikované techniky útoku a diaľkové ovládanie
Kopatra využíva technológiu Hidden Virtual Network Computing (VNC) na získanie diaľkovej kontroly nad infikovanými zariadeniami. Používa dynamické prekrytia na krádež prihlasovacích údajov a vykonávanie neoprávnených transakcií. Na rozdiel od konvenčného mobilného malvéru Kloopatra integruje natívne knižnice a komerčný ochranný balík Virbox, čo extrémne sťažuje detekciu a analýzu.
Analýza infraštruktúry Command-and-Control (C2) a jazykových indícií malvéru naznačuje, že turecky hovoriaca zločinecká skupina prevádzkuje Klopatru ako súkromný botnet, namiesto toho, aby ho ponúkala ako verejnú službu malvéru ako službu (MaaS). Od marca 2025 bolo identifikovaných 40 rôznych zostavení trójskeho koňa.
Ako sú obete lákané
Kopatra sa šíri prostredníctvom taktík sociálneho inžinierstva, ktoré klamú používateľov, aby si nainštalovali aplikácie maskované ako neškodné nástroje, ako napríklad aplikácie na streamovanie IPTV. Tieto aplikácie zneužívajú ochotu používateľov inštalovať pirátsky softvér z nedôveryhodných zdrojov.
Po nainštalovaní dropper vyžaduje povolenia na inštaláciu balíkov z neznámych zdrojov. Následne extrahuje hlavný dátový súbor Klopatra z vloženého JSON Packeru. Malvér navyše vyžaduje služby prístupnosti systému Android, ktoré sú síce určené na pomoc používateľom so zdravotným postihnutím, ale môžu byť zneužité na:
- Čítať obsah obrazovky
- Zaznamenávať stlačenia klávesov
- Vykonávajte akcie autonómne
To umožňuje útočníkom vykonávať finančné podvody bez vedomia obete.
Pokročilá architektúra pre nenápadnosť a odolnosť
Kloopatra vyniká svojou pokročilou a odolnou konštrukciou:
- Integrácia Virboxu chráni malvér pred analýzou.
- Základné funkcie sa kvôli väčšej nenápadnosti presunuli z Javy do natívnych knižníc.
- Rozsiahle zahmlievanie kódu, anti-debugging a kontroly integrity za behu bránia detekcii.
- Operátori získavajú podrobnú kontrolu v reálnom čase prostredníctvom VNC vrátane možnosti:
- Zobrazte čiernu obrazovku na skrytie škodlivej aktivity.
- Tajne vykonávajte bankové transakcie.
- Dynamicky zobrazujte falošné prihlasovacie obrazovky cieleným finančným a kryptomenovým aplikáciám.
Malvér tiež deaktivuje predinštalovaný antivírusový softvér a môže zvýšiť jeho povolenia pomocou služieb prístupnosti, aby zabránil ukončeniu.
Vykonávanie podvodov a strategické načasovanie
Klopatrini operátori dodržiavajú starostlivo premyslenú útočnú sekvenciu:
- Skontrolujte, či sa zariadenie nabíja, či je obrazovka vypnutá a či je zariadenie nečinné.
- Znížte jas obrazovky na nulu a zobrazte čierne prekrytie.
- Používajte ukradnuté PIN kódy alebo vzory na prístup k bankovým aplikáciám.
- Nepozorovane vykonajte viacero okamžitých bankových prevodov.
Táto nočná stratégia zabezpečuje, že zariadenia zostanú napájané a bez dozoru, čo útočníkom poskytuje ideálny čas na ich prevádzku, zatiaľ čo obete spia.
Dôsledky pre finančný sektor
Hoci Kopatra nenanovo vynájde mobilný malvér, predstavuje výrazné zvýšenie sofistikovanosti hrozieb. Prijatím komerčných ochranných opatrení a stealth taktík prevádzkovatelia maximalizujú ziskovosť aj životnosť svojich operácií.
Spoločnosť Google potvrdila, že v obchode Google Play nenašla žiadne infikované aplikácie, ale závislosť škodlivého softvéru od distribučných kanálov tretích strán a pirátskych aplikácií podčiarkuje pretrvávajúce riziko pre používateľov mobilných zariadení.
