Klopatra bančni trojanec
Prej neznani bančni trojanec za Android, Klopatra, je ogrozil več kot 3000 naprav, pri čemer sta bili Španija in Italija najbolj prizadeti. Ta prefinjena zlonamerna programska oprema, ki so jo konec avgusta 2025 odkrili raziskovalci informacijske varnosti, združuje zmogljivosti trojanca za oddaljeni dostop (RAT) z naprednimi tehnikami izogibanja, cilja na finančne podatke in omogoča goljufive transakcije.
Kazalo
Sofisticirane tehnike napada in daljinsko upravljanje
Kopatra izkorišča skrit virtualni omrežni računalnik (VNC) za pridobitev oddaljenega nadzora nad okuženimi napravami. Uporablja dinamične prekrivne sloje za krajo poverilnic in izvajanje nepooblaščenih transakcij. Za razliko od običajne mobilne zlonamerne programske opreme Kopatra integrira izvorne knjižnice in komercialni paket zaščite kode Virbox, zaradi česar je odkrivanje in analiza izjemno težka.
Analiza infrastrukture za upravljanje in nadzor (C2) ter jezikovnih sledi zlonamerne programske opreme kaže, da turško govoreča kriminalna skupina upravlja Klopatro kot zasebno botnet omrežje, namesto da bi ga ponujala kot javno zlonamerno programsko opremo kot storitev (MaaS). Od marca 2025 je bilo identificiranih 40 različnih različic trojanca.
Kako žrtve zvabijo
Kopatra se širi s taktikami socialnega inženiringa, pri čemer uporabnike zavede, da namestijo aplikacije za spuščanje vsebine, ki se maskirajo kot neškodljiva orodja, kot so aplikacije za pretakanje IPTV. Te aplikacije izkoriščajo pripravljenost uporabnikov za namestitev piratske programske opreme iz nezanesljivih virov.
Ko je nameščen, programska oprema zahteva dovoljenja za namestitev paketov iz neznanih virov. Nato iz vgrajenega JSON Packerja izvleče glavni koristni tovor Klopatre. Zlonamerna programska oprema dodatno zahteva storitve za dostopnost Androida, ki so sicer zasnovane za pomoč uporabnikom z invalidnostjo, vendar se lahko zlorabijo za:
- Preberi vsebino zaslona
- Snemanje pritiskov tipk
- Samostojno izvajajte dejanja
To napadalcem omogoča izvajanje finančnih goljufij brez vednosti žrtve.
Napredna arhitektura za prikritost in odpornost
Kopatra izstopa zaradi svoje napredne in odporne zasnove:
- Integracija Virboxa ščiti zlonamerno programsko opremo pred analizo.
- Osnovne funkcije so se zaradi večje prikritosti premaknile iz Jave v izvorne knjižnice.
- Obsežno zakrivanje kode, preprečevanje odpravljanja napak in preverjanje integritete med izvajanjem ovirajo zaznavanje.
- Operaterji pridobijo natančen nadzor v realnem času prek VNC, vključno z možnostjo:
- Postrezite s črnim zaslonom, da skrijete zlonamerno dejavnost.
- Izvajajte bančne transakcije na skrivaj.
- Dinamično dostavljajte lažne prijavne zaslone ciljnim finančnim in kriptovalutnim aplikacijam.
Zlonamerna programska oprema onemogoči tudi vnaprej nameščeno protivirusno programsko opremo in lahko z uporabo storitev za dostopnost poveča njena dovoljenja, da prepreči prekinitev.
Izvajanje goljufij in strateški čas
Klopatrini operaterji sledijo skrbno orkestriranemu zaporedju napadov:
- Preverite, ali se naprava polni, ali je zaslon izklopljen in ali je naprava v stanju mirovanja.
- Zmanjšajte svetlost zaslona na nič in prikažite črno prekrivanje.
- Za dostop do bančnih aplikacij uporabite ukradene PIN-e ali vzorce.
- Neopaženo izvedite več takojšnjih bančnih nakazil.
Ta nočna strategija zagotavlja, da naprave ostanejo napajane in brez nadzora, kar napadalcem daje idealen čas za delovanje, medtem ko žrtve spijo.
Posledice za finančni sektor
Čeprav Kopatra ne izumlja mobilne zlonamerne programske opreme na novo, predstavlja znatno stopnjevanje sofisticiranosti groženj. Z uporabo komercialnih zaščit in prikritih taktik operaterji maksimizirajo tako dobičkonosnost kot življenjsko dobo svojega poslovanja.
Google je potrdil, da v trgovini Google Play niso našli nobenih okuženih aplikacij, vendar odvisnost zlonamerne programske opreme od distribucijskih kanalov tretjih oseb in piratskih aplikacij poudarja stalno tveganje za uporabnike mobilnih naprav.
