Найти в Дзене
Хайтек
71,9 тыс подписчиков

Хитрый троян крадет деньги с Android‑смартфонов

57
2 мин
Исследователи Cleafy нашли новый банковский троян Klopatra: он захватил более 3 000 устройств в Европе, в основном в Испании и Италии, и даёт злоумышленникам полный контроль через скрытую VNC‑сеть. Уже выявили не менее 40 сборок с марта 2025 года. Эксперты Cleafy обнаружили Klopatra в конце августа 2025 года. Троян маскируют под IPTV‑ или VPN‑приложение, затем он просит права Accessibility и получает возможность имитировать нажатия, читать экран и управлять приложениями без ведома владельца. Ключевая опасность — скрытая виртуальная сеть управления (Hidden VNC). Через неё операторы подключаются к заражённым телефонам «как к рабочей станции»: видят интерфейс, вводят данные и совершают операции напрямую. Именно это позволяет в короткие сроки выводить деньги с банковских приложений и «горячих» криптокошельков. Анализ кода и инфраструктуры указывает на туркоязычных операторов. По данным Cleafy, авторы не предлагают Klopatra в аренду — похоже, ботнет приватный и управляют им ограниченные уча

Исследователи Cleafy нашли новый банковский троян Klopatra: он захватил более 3 000 устройств в Европе, в основном в Испании и Италии, и даёт злоумышленникам полный контроль через скрытую VNC‑сеть. Уже выявили не менее 40 сборок с марта 2025 года.

Эксперты Cleafy обнаружили Klopatra в конце августа 2025 года. Троян маскируют под IPTV‑ или VPN‑приложение, затем он просит права Accessibility и получает возможность имитировать нажатия, читать экран и управлять приложениями без ведома владельца.

Ключевая опасность — скрытая виртуальная сеть управления (Hidden VNC). Через неё операторы подключаются к заражённым телефонам «как к рабочей станции»: видят интерфейс, вводят данные и совершают операции напрямую. Именно это позволяет в короткие сроки выводить деньги с банковских приложений и «горячих» криптокошельков.

Анализ кода и инфраструктуры указывает на туркоязычных операторов. По данным Cleafy, авторы не предлагают Klopatra в аренду — похоже, ботнет приватный и управляют им ограниченные участники.

Троян используют несколько приёмов, чтобы спрятаться от аналитиков. Разработчики упаковали части кода через Virbox — коммерческое средство защиты от реверс‑инжиниринга — and перевели логику в нативные библиотеки, минимизировав Java/Kotlin‑слой. Есть шифрование строк, анти‑отладка и детектирование эмуляторов. Это серьёзно осложняет распаковку и исследование образцов.

Исследователи насчитали минимум 40 разных конфигураций Klopatra; самые ранние образцы датируют мартом 2025 года. По количеству заражённых устройств речь уже идёт о тысячах — больше 3 000 по данным Cleafy, жертвы сосредоточены главным образом в Испании и Италии.

Канал распространения — вне Google Play: злоумышленники используют злонамеренные страницы‑дропперы, выдающие приложение за IPTV/VPN (Modpro IP TV + VPN). После установки троянец пытается отключить известные мобильные антивирусы и блокирует средства защиты.

Что это значит для пользователя? Если вы устанавливали приложения из сторонних источников или давали права Accessibility сомнительным программам, проверьте устройство антивирусом, удалите подозрительные приложения и сбросьте пароли банковских сервисов. Банки и поставщики безопасности уже предупреждают о риске массовых мошеннических переводов и краже криптоактивов.

Читать далее:

Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу

Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе

Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды

Обложка: freepik