Специалисты Cleafy Threat Intelligence обнаружили на новое вредоносное ПО — Android-троян удалённого доступа Klopatra. Впервые он был зафиксирован в конце августа 2025 года. Хакеры сделали его частью масштабной кампании, направленной против пользователей финансовых приложений в странах Европы. Основными целями оказались клиенты банков в Италии и Испании, где уже скомпрометированы свыше 3000 устройств.
Klopatra выделяется среди аналогичных угроз уровнем технической реализации. Вредоносный код использует коммерческий защитный механизм Virbox, что крайне редко встречается в Android-малвари.
Разработчики трояна перенесли значительную часть его логики с Java на нативный код, что серьёзно усложняет анализ и мешает стандартным антивирусным системам зафиксировать вредоносную активность. Это же делает задачу обратного проектирования почти невозможной для большинства специалистов.
По сути, Klopatra представляет собой полноценный банковский троян с удалённым доступом. Он создаёт невидимую VNC-сессию, позволяя операторам управлять устройством жертвы. Одновременно запускаются динамические оверлеи, подменяющие интерфейс банковских приложений, чтобы перехватить логины и пароли.
Встроенные функции работы с системами доступности дают трояну возможность самостоятельно инициировать финансовые операции — без участия пользователя.
Исследование Cleafy выявило, что за Klopatra стоит организованная турецкоязычная группировка. Лингвистический анализ командных серверов, переменных и меток в коде подтверждает происхождение операторов. Более того, в журналах активности зафиксированы прямые пометки на турецком языке, указывающие на внутренние заметки и тестовые действия.
Эксперты отмечают крайне высокую скорость эволюции вредоносной программы. С марта 2025 года уже зафиксировано более 40 различных версий Klopatra, каждая из которых включает новые элементы защиты.
Последние сборки используют шифрование строк, сложные методы маскировки командного трафика и усовершенствованные механизмы получения прав на доступ к чувствительным функциям Android.
Сценарии атак также продуманы до мелочей. Операторы выбирают момент, когда устройство остаётся без присмотра — ночью, во время зарядки. Захватив экран, троян создаёт видимость отключённого смартфона, а в это время выполняет несанкционированные переводы, используя ранее украденные PIN-коды или графические ключи. Всё происходит в фоновом режиме, а пользователь обнаруживает пропажу средств только наутро.
Оригинал публикации на сайте CISOCLUB: "Россиян предупредили о новом Android-трояне Klopatra, используемом для атак на банки Европы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.