Klopatra銀行木馬
一款先前未知的安卓銀行木馬病毒 Klopatra 已感染超過 3,000 台設備,其中西班牙和義大利受害最為嚴重。這款複雜的惡意軟體於 2025 年 8 月下旬被資訊安全研究人員發現,它將遠端存取木馬 (RAT) 功能與先進的規避技術相結合,旨在竊取金融資訊並進行詐欺交易。
目錄
複雜的攻擊技術與遠端控制
Klopatra 利用隱藏虛擬網路運算 (VNC) 來遠端控制受感染的裝置。它使用動態覆蓋來竊取憑證並執行未經授權的交易。與傳統的行動惡意軟體不同,Klopatra 整合了原生庫和商業級 Virbox 程式碼保護套件,這使得檢測和分析變得極其困難。
對該惡意軟體的命令與控制 (C2) 基礎設施和語言線索的分析表明,一個土耳其語犯罪集團將 Klopatra 作為私人殭屍網路運營,而不是將其作為公共惡意軟體即服務 (MaaS) 提供。自 2025 年 3 月以來,已發現該木馬的 40 個不同版本。
受害者是如何被引誘的
Klopatra 透過社會工程手段傳播,誘騙用戶安裝偽裝成無害工具(例如 IPTV 串流應用程式)的植入程式。這些應用程式利用了用戶安裝來自不可信來源的盜版軟體的意願。
安裝後,植入程式會要求安裝來自未知來源軟體套件的權限。然後,它會從嵌入的 JSON Packer 中提取主要的 Klopatra 有效載荷。該惡意軟體也會要求 Android 輔助功能服務,雖然這些服務旨在幫助殘障用戶,但也可能被濫用來執行以下操作:
- 讀取螢幕內容
- 記錄擊鍵
- 自主執行動作
這使得攻擊者可以在受害者不知情的情況下進行金融詐欺。
先進的隱身和彈性架構
Klopatra 因其先進、靈活的設計而脫穎而出:
- Virbox 整合可保護惡意軟體免於分析。
- 核心功能從 Java 轉移到本機庫以增強隱蔽性。
- 大量的程式碼混淆、反調試和運行時完整性檢查阻礙了檢測。
該惡意軟體也會停用預先安裝的防毒軟體,並可使用輔助功能服務提升其權限以防止終止。
詐欺執行和戰略時機
Klopatra 的操作員遵循精心策劃的攻擊順序:
- 檢查設備是否正在充電、螢幕是否關閉以及設備是否處於空閒狀態。
- 將螢幕亮度降低至零並顯示黑色覆蓋。
- 使用被盜的 PIN 碼或圖案存取銀行應用程式。
- 執行多筆即時銀行轉帳而不被發現。
這種夜間策略可確保設備保持通電且無人看管,為攻擊者在受害者睡覺時提供理想的操作視窗。
對金融部門的影響
雖然 Klopatra 並沒有徹底改造行動惡意軟體,但它代表了威脅複雜程度的顯著提升。透過採用商業級保護和隱形策略,營運商可以最大限度地提高獲利能力並延長營運壽命。
谷歌已確認在 Google Play 上沒有發現受感染的應用程序,但該惡意軟體對第三方和盜版應用程式分發管道的依賴凸顯了行動用戶持續面臨的風險。
