Klopatra银行木马
一款此前未知的安卓银行木马病毒 Klopatra 已感染超过 3,000 台设备,其中西班牙和意大利受害最为严重。这款复杂的恶意软件于 2025 年 8 月下旬被信息安全研究人员发现,它将远程访问木马 (RAT) 功能与先进的规避技术相结合,旨在窃取金融信息并进行欺诈交易。
目录
复杂的攻击技术和远程控制
Klopatra 利用隐藏虚拟网络计算 (VNC) 来远程控制受感染的设备。它使用动态覆盖来窃取凭证并执行未经授权的交易。与传统的移动恶意软件不同,Klopatra 集成了原生库和商业级 Virbox 代码保护套件,这使得检测和分析变得极其困难。
对该恶意软件的命令与控制 (C2) 基础设施和语言线索的分析表明,一个土耳其语犯罪集团将 Klopatra 作为私人僵尸网络运营,而不是将其作为公共恶意软件即服务 (MaaS) 提供。自 2025 年 3 月以来,已发现该木马的 40 个不同版本。
受害者是如何被引诱的
Klopatra 通过社会工程手段进行传播,诱骗用户安装伪装成无害工具(例如 IPTV 流媒体应用程序)的植入程序。这些应用程序利用了用户安装来自不可信来源的盗版软件的意愿。
安装后,植入程序会请求安装来自未知来源软件包的权限。然后,它会从嵌入的 JSON Packer 中提取主要的 Klopatra 有效载荷。该恶意软件还会请求 Android 辅助功能服务,虽然这些服务旨在帮助残障用户,但也可能被滥用来执行以下操作:
- 读取屏幕内容
- 记录击键
- 自主执行动作
这使得攻击者可以在受害者不知情的情况下进行金融欺诈。
先进的隐身和弹性架构
Klopatra 因其先进、灵活的设计而脱颖而出:
- Virbox 集成可保护恶意软件免遭分析。
- 核心功能从 Java 转移到本机库以增强隐蔽性。
- 大量的代码混淆、反调试和运行时完整性检查阻碍了检测。
该恶意软件还会禁用预装的防病毒软件,并可以使用辅助功能服务提升其权限以防止终止。
欺诈执行和战略时机
Klopatra 的操作员遵循精心策划的攻击顺序:
- 检查设备是否正在充电、屏幕是否关闭以及设备是否处于空闲状态。
- 将屏幕亮度降低至零并显示黑色覆盖。
- 使用被盗的 PIN 码或图案访问银行应用程序。
- 执行多笔即时银行转账而不被发现。
这种夜间策略可确保设备保持通电且无人看管,为攻击者在受害者睡觉时提供理想的操作窗口。
对金融部门的影响
虽然 Klopatra 并没有彻底改造移动恶意软件,但它代表了威胁复杂程度的显著提升。通过采用商业级保护和隐形策略,运营商可以最大限度地提高盈利能力并延长运营寿命。
谷歌已确认在 Google Play 上没有发现受感染的应用程序,但该恶意软件对第三方和盗版应用程序分发渠道的依赖凸显了移动用户持续面临的风险。
