Может ли новый троян Klopatra незаметно опустошить ваш банковский счет, пока вы спите?

В конце августа 2025 года итальянская фирма по предотвращению мошенничества Cleafy обнаружила ранее недокументированный банковский троян для Android под названием Klopatra. Исследователи Федерико Валентини, Алессандро Стрино, Симоне Маттиа и Микеле Ровиелло сообщили, что вредоносная программа уже скомпрометировала более 3000 устройств, представляя серьезную угрозу для финансового сектора. Основными целями атак стали пользователи в Испании и Италии.
Может ли новый троян Klopatra незаметно опустошить ваш банковский счет, пока вы спите?
Изображение носит иллюстративный характер

Анализ артефактов и командно-контрольной (C2) инфраструктуры показал, что за созданием и управлением Klopatra стоит частная туркоязычная преступная группа. Вредоносная программа не распространяется по модели «вирус как услуга» (MaaS), а используется в рамках закрытого ботнета. Высокая активность разработчиков подтверждается обнаружением как минимум 40 различных сборок вируса, созданных с марта 2025 года.

Техническая архитектура Klopatra свидетельствует о значительном шаге в эволюции мобильных угроз. Троян использует технологию скрытого удаленного доступа (Hidden VNC), которая позволяет злоумышленникам в реальном времени управлять зараженным устройством. Для сокрытия своих действий от пользователя вирус может активировать черный экран, имитируя выключенный дисплей, в то время как на устройстве производятся мошеннические операции.

Для кражи учетных данных Klopatra применяет динамические оверлеи — поддельные окна ввода логина и пароля, которые отображаются поверх легитимных банковских и криптовалютных приложений. Эти фишинговые окна загружаются динамически с командного сервера, что позволяет операторам адаптировать атаки под конкретные приложения, установленные на устройстве жертвы.

Отличительной чертой трояна является использование коммерческого пакета защиты кода Virbox, который крайне редко встречается в вредоносных программах для Android. Разработчики переместили ключевые функции из кода Java в нативные библиотеки, что существенно затрудняет анализ вируса традиционными средствами безопасности. Программа также оснащена механизмами обфускации кода, антиотладки и проверками целостности во время выполнения.

Заражение устройств происходит через многоступенчатую схему с применением социальной инженерии. Пользователей заманивают предложениями установить приложения для просмотра IPTV, которые якобы предоставляют доступ к телеканалам высокого качества. Жертва скачивает приложение-дроппер из ненадежного источника и предоставляет ему разрешение на установку пакетов из неизвестных источников.

Получив необходимое разрешение, дроппер извлекает основную полезную нагрузку Klopatra из встроенного JSON-пакета и устанавливает ее на устройство. Сразу после установки троян запрашивает доступ к службам специальных возможностей Android (Accessibility Services). Предоставление этого разрешения является ключевым моментом, открывающим злоумышленникам полный контроль над устройством.

Злоупотребляя доступом к специальным возможностям, Klopatra получает возможность читать содержимое экрана, записывать нажатия клавиш, выполнять действия от имени пользователя (нажимать кнопки, перемещаться по меню), автоматически предоставлять себе дополнительные разрешения, блокировать собственное удаление и даже пытаться деинсталлировать предустановленные антивирусные приложения.

Мошеннические транзакции проводятся в ходе тщательно срежиссированной последовательности действий, как правило, в ночное время, когда жертва спит, а ее устройство находится на зарядке. Оператор предварительно проверяет три условия: телефон заряжается, экран выключен и устройство не используется.

Если условия соблюдены, вирус снижает яркость экрана до нуля и активирует черный оверлей, создавая видимость выключенного телефона. В фоновом режиме злоумышленник использует ранее украденный PIN-код или графический ключ для разблокировки устройства. Затем он запускает целевое банковское приложение и выводит средства со счета жертвы с помощью серии мгновенных банковских переводов.

Использование коммерческих инструментов защиты, таких как Virbox, указывает на общую тенденцию профессионализации в сфере киберпреступности. Злоумышленники все чаще применяют профессиональные решения для увеличения продолжительности жизни и прибыльности своих вредоносных кампаний. Klopatra является примером продвинутой сборки уже известных техник, объединенных в крайне эффективный и опасный инструмент.

Одновременно с этим фирма по кибербезопасности ThreatFabric сообщила об обнаружении другого незадокументированного банковского трояна для Android под названием Datzbro. Эта вредоносная программа также способна осуществлять атаки с полным захватом устройства (DTO) для проведения мошеннических транзакций. Отмечается, что основной целью Datzbro являются пожилые люди.


Новое на сайте

20204Дыра в Argo CD: почему 18 месяцев без патча — это катастрофа? 20203WhatsApp запускает имена пользователей: теперь можно общаться без раскрытия номера... 20202Почему США пришлось заморозить сильнейший ИИ Anthropic — и чего это стоило отрасли? 20201Ousaban: бразильский банковский троян, который охотится на клиентов испанских и... 20200Три новые группировки вымогателей: Citrix Bleed 2, уязвимые драйверы и атаки через... 20198Тупиковый майнинг биткоина тратит столько энергии, сколько вырабатывают все гэс Швейцарии... 20197DuneSlide: как два скрытых промпта позволяли захватить машину разработчика через Cursor 20196Уязвимость в Progress Kemp LoadMaster: кто уже пытается взломать ваш балансировщик? 20194Критическая уязвимость в SimpleHelp позволяет красть данные из облаков, кошельков и... 20193Ультрабыстрые лазеры поместились на чип: как журналистика о науке работает без самой науки 20192Почему Adobe выпускает патчи дважды в месяц и что скрывается за семью уязвимостями с... 20191Два миллиона домашних устройств работали прокси-сетью — и никто из владельцев об этом не...
Ссылка