Клопатра банкарски тројанац
Раније непознати тројански вирус за банкарство на Андроиду, Klopatra, компромитовао је преко 3.000 уређаја, а Шпанија и Италија су најтеже погођене. Откривен крајем августа 2025. године од стране истраживача информационе безбедности, овај софистицирани малвер комбинује могућности тројанског вируса за удаљени приступ (RAT) са напредним техникама избегавања, циљајући финансијске информације и омогућавајући преварне трансакције.
Преглед садржаја
Софистициране технике напада и даљинско управљање
Клопатра користи скривено виртуелно мрежно рачунарство (VNC) да би добила даљинску контролу над зараженим уређајима. Користи динамичке преклапања за крађу акредитива и извршавање неовлашћених трансакција. За разлику од конвенционалног мобилног злонамерног софтвера, Клопатра интегрише изворне библиотеке и комерцијални пакет заштите кода Virbox, што изузетно отежава откривање и анализу.
Анализа командно-контролне (C2) инфраструктуре злонамерног софтвера и лингвистичких трагова указује на то да криминална група која говори турски језик управља Klopatra-ом као приватним ботнетом, уместо да га нуди као јавни злонамерни софтвер као услугу (MaaS). Од марта 2025. године идентификовано је 40 различитих верзија тројанског коња.
Како се жртве намамљују
Клопатра се шири путем тактика социјалног инжењеринга, варајући кориснике да инсталирају апликације за преузимање које се маскирају као безопасни алати, као што су апликације за стримовање IPTV-а. Ове апликације искоришћавају спремност корисника да инсталирају пиратски софтвер из непоузданих извора.
Једном инсталиран, дропер захтева дозволе за инсталирање пакета из непознатих извора. Затим издваја главни Klopatra корисни садржај из уграђеног JSON Packer-а. Злонамерни софтвер додатно захтева Android сервисе за приступачност, који, иако су дизајнирани да помогну корисницима са инвалидитетом, могу бити злоупотребљени за:
- Читање садржаја екрана
- Снимање притиска тастера
- Аутономно извршавајте акције
Ово омогућава нападачима да изврше финансијске преваре без знања жртве.
Напредна архитектура за прикривеност и отпорност
Клопатра се истиче због свог напредног, отпорног дизајна:
- Вирбокс интеграција штити злонамерни софтвер од анализе.
- Основне функције су пребачене са Јаве на изворне библиотеке ради веће прикривености.
- Опсежно замагљивање кода, провере против дебаговања и интегритета током извршавања отежавају откривање.
Злонамерни софтвер такође онемогућава унапред инсталирани антивирусни софтвер и може да повећа његове дозволе користећи услуге приступачности како би спречио прекид рада.
Извршење преваре и стратешко време
Клопатрани оператери прате пажљиво оркестриран низ напада:
- Проверите да ли се уређај пуни, да ли је екран искључен и да ли је уређај у стању мировања.
- Смањите осветљеност екрана на нулу и прикажите црни слој.
- Користите украдене ПИН-ове или обрасце за приступ банкарским апликацијама.
- Извршите више тренутних банковних трансфера неоткривено.
Ова ноћна стратегија осигурава да уређаји остану напајани и без надзора, дајући нападачима идеалан временски оквир за рад док жртве спавају.
Импликације за финансијски сектор
Иако Клопатра не реинвентира мобилни злонамерни софтвер, она представља значајно повећање софистицираности претњи. Усвајањем заштите комерцијалног нивоа и тактика прикривања, оператери максимизирају и профитабилност и животни век својих операција.
Гугл је потврдио да на Гугл Плеју нису пронађене заражене апликације, али ослањање злонамерног софтвера на канале дистрибуције трећих страна и пиратских апликација наглашава стални ризик за кориснике мобилних уређаја.
