Банківський троян Klopatra
Раніше невідомий банківський троян для Android, Klopatra, скомпрометував понад 3000 пристроїв, причому Іспанія та Італія постраждали найбільше. Виявлений наприкінці серпня 2025 року дослідниками інформаційної безпеки, цей складний шкідливий код поєднує можливості трояна віддаленого доступу (RAT) з передовими методами ухилення, націлюючись на фінансову інформацію та уможливлюючи шахрайські транзакції.
Зміст
Складні методи атаки та дистанційне керування
Kopatra використовує приховані віртуальні мережеві обчислення (VNC) для отримання віддаленого контролю над зараженими пристроями. Вона застосовує динамічні накладання для крадіжки облікових даних та виконання несанкціонованих транзакцій. На відміну від звичайного мобільного шкідливого програмного забезпечення, Kopatra інтегрує власні бібліотеки та комерційний пакет захисту коду Virbox, що надзвичайно ускладнює виявлення та аналіз.
Аналіз інфраструктури командування та контролю (C2) шкідливого програмного забезпечення та лінгвістичних підказок вказує на те, що турецькомовне злочинне угруповання використовує Klopatra як приватний ботнет, а не пропонує його як публічне шкідливе програмне забезпечення як послугу (MaaS). З березня 2025 року було виявлено 40 різних збірок трояна.
Як заманюють жертв
Kopatra поширюється за допомогою тактики соціальної інженерії, обманом змушуючи користувачів встановлювати програми-дроппери, що маскуються під нешкідливі інструменти, такі як програми для потокового передавання IPTV. Ці програми використовують бажання користувачів встановлювати піратське програмне забезпечення з ненадійних джерел.
Після встановлення дроппер запитує дозволи на встановлення пакетів з невідомих джерел. Потім він витягує основне корисне навантаження Klopatra з вбудованого JSON Packer. Шкідливе програмне забезпечення також запитує доступ до служб доступності Android, які, хоча й розроблені для допомоги користувачам з інвалідністю, можуть бути використані для:
- Зчитування вмісту екрана
- Запис натискань клавіш
- Виконуйте дії автономно
Це дозволяє зловмисникам здійснювати фінансові шахрайства без відома жертви.
Розширена архітектура для прихованості та стійкості
Klopatra вирізняється своєю вдосконаленою та стійкою конструкцією:
- Інтеграція Virbox захищає шкідливе програмне забезпечення від аналізу.
- Основні функції переміщено з Java на рідні бібліотеки для підвищення прихованості.
- Ретельне обфускація коду, анти-налагодження та перевірки цілісності під час виконання перешкоджають виявленню.
Шкідливе програмне забезпечення також вимикає попередньо встановлене антивірусне програмне забезпечення та може підвищувати його дозволи за допомогою служб доступності, щоб запобігти завершенню роботи.
Виконання шахрайства та стратегічний вибір часу
Оператори Клопатра дотримуються ретельно спланованої послідовності атак:
- Перевірте, чи заряджається пристрій, чи екран вимкнений, а пристрій перебуває в режимі очікування.
- Зменште яскравість екрана до нуля та відобразіть чорне накладання.
- Використовуйте викрадені PIN-коди або графічні ключі для доступу до банківських додатків.
- Здійснити кілька миттєвих банківських переказів непомітно.
Ця нічна стратегія гарантує, що пристрої залишаються підключеними до мережі та без нагляду, що дає зловмисникам ідеальний час для роботи, поки жертви сплять.
Наслідки для фінансового сектору
Хоча Kopatra не винаходить мобільного шкідливого програмного забезпечення заново, вона являє собою значне підвищення складності загроз. Застосовуючи захист комерційного рівня та тактику прихованості, оператори максимізують як прибутковість, так і термін служби своїх операцій.
Google підтвердив, що в Google Play не було знайдено жодних заражених програм, але залежність шкідливого програмного забезпечення від сторонніх та піратських каналів розповсюдження програм підкреслює постійний ризик для користувачів мобільних пристроїв.
