Trojan ngân hàng Klopatra
Một trojan ngân hàng Android chưa từng được biết đến, Klopatra, đã xâm nhập hơn 3.000 thiết bị, trong đó Tây Ban Nha và Ý là hai quốc gia bị ảnh hưởng nặng nề nhất. Được các nhà nghiên cứu bảo mật thông tin phát hiện vào cuối tháng 8 năm 2025, phần mềm độc hại tinh vi này kết hợp khả năng của trojan truy cập từ xa (RAT) với các kỹ thuật lẩn tránh tiên tiến, nhắm mục tiêu vào thông tin tài chính và cho phép thực hiện các giao dịch gian lận.
Mục lục
Kỹ thuật tấn công tinh vi và điều khiển từ xa
Klopatra tận dụng Hidden Virtual Network Computing (VNC) để kiểm soát từ xa các thiết bị bị nhiễm. Nó sử dụng các lớp phủ động để đánh cắp thông tin đăng nhập và thực hiện các giao dịch trái phép. Không giống như phần mềm độc hại di động thông thường, Klopatra tích hợp các thư viện gốc và bộ bảo vệ mã Virbox cấp thương mại, khiến việc phát hiện và phân tích trở nên cực kỳ khó khăn.
Phân tích cơ sở hạ tầng Chỉ huy và Kiểm soát (C2) và các manh mối ngôn ngữ của phần mềm độc hại cho thấy một nhóm tội phạm nói tiếng Thổ Nhĩ Kỳ đang vận hành Klopatra như một mạng botnet riêng tư, thay vì cung cấp nó như một phần mềm độc hại dưới dạng dịch vụ (MaaS) công khai. Kể từ tháng 3 năm 2025, 40 phiên bản trojan riêng biệt đã được xác định.
Nạn nhân bị dụ dỗ như thế nào
Klopatra lây lan thông qua các chiến thuật kỹ thuật xã hội, lừa người dùng cài đặt các ứng dụng dropper ngụy trang thành các công cụ vô hại, chẳng hạn như các ứng dụng phát trực tuyến IPTV. Các ứng dụng này lợi dụng việc người dùng sẵn sàng cài đặt phần mềm lậu từ các nguồn không đáng tin cậy.
Sau khi cài đặt, dropper yêu cầu quyền cài đặt các gói từ nguồn không xác định. Sau đó, nó trích xuất payload Klopatra chính từ một JSON Packer được nhúng. Phần mềm độc hại này cũng yêu cầu các dịch vụ trợ năng của Android, mặc dù được thiết kế để hỗ trợ người dùng khuyết tật, nhưng có thể bị lạm dụng để:
- Đọc nội dung màn hình
- Ghi lại các lần nhấn phím
- Thực hiện hành động một cách tự động
Điều này cho phép kẻ tấn công thực hiện hành vi gian lận tài chính mà nạn nhân không hề hay biết.
Kiến trúc tiên tiến cho khả năng tàng hình và phục hồi
Klopatra nổi bật nhờ thiết kế tiên tiến và bền bỉ:
- Tích hợp Virbox bảo vệ phần mềm độc hại khỏi bị phân tích.
- Các chức năng cốt lõi được chuyển từ Java sang các thư viện gốc để tăng tính ẩn.
- Việc che giấu mã, chống gỡ lỗi và kiểm tra tính toàn vẹn thời gian chạy rộng rãi cản trở việc phát hiện.
- Người vận hành có được khả năng kiểm soát chi tiết theo thời gian thực thông qua VNC, bao gồm khả năng:
- Sử dụng lớp phủ màn hình đen để ẩn hoạt động độc hại.
- Thực hiện giao dịch ngân hàng một cách bí mật.
- Cung cấp màn hình đăng nhập giả mạo một cách linh hoạt cho các ứng dụng tài chính và tiền điện tử mục tiêu.
Phần mềm độc hại này cũng vô hiệu hóa phần mềm diệt vi-rút được cài đặt sẵn và có thể tăng quyền bằng cách sử dụng các dịch vụ trợ năng để ngăn chặn việc chấm dứt.
Thực hiện gian lận và thời điểm chiến lược
Những người điều hành Klopatra thực hiện một chuỗi tấn công được dàn dựng cẩn thận:
- Kiểm tra xem thiết bị có đang sạc, màn hình đã tắt và thiết bị đang ở chế độ chờ không.
- Giảm độ sáng màn hình xuống 0 và hiển thị lớp phủ màu đen.
- Sử dụng mã PIN hoặc hình vẽ bị đánh cắp để truy cập ứng dụng ngân hàng.
- Thực hiện nhiều giao dịch chuyển khoản ngân hàng tức thời mà không bị phát hiện.
Chiến lược ban đêm này đảm bảo các thiết bị vẫn được cấp nguồn và không bị giám sát, tạo cơ hội lý tưởng cho kẻ tấn công hoạt động trong khi nạn nhân đang ngủ.
Ý nghĩa đối với ngành tài chính
Mặc dù Klopatra không phải là phiên bản mới của phần mềm độc hại di động, nhưng nó cho thấy sự leo thang đáng kể về mức độ tinh vi của các mối đe dọa. Bằng cách áp dụng các biện pháp bảo vệ cấp độ thương mại và chiến thuật ẩn danh, các nhà điều hành đã tối đa hóa cả lợi nhuận và tuổi thọ hoạt động của mình.
Google đã xác nhận rằng không có ứng dụng bị nhiễm nào được tìm thấy trên Google Play, nhưng việc phần mềm độc hại phụ thuộc vào các kênh phân phối ứng dụng của bên thứ ba và ứng dụng lậu cho thấy rủi ro đang diễn ra đối với người dùng thiết bị di động.
