В конце августа 2025 года итальянская фирма по предотвращению мошенничества Cleafy обнаружила ранее недокументированный банковский троян для Android под названием Klopatra. Исследователи Федерико Валентини, Алессандро Стрино, Симоне Маттиа и Микеле Ровиелло сообщили, что вредоносная программа уже скомпрометировала более 3000 устройств, представляя серьезную угрозу для финансового сектора. Основными целями атак стали пользователи в Испании и Италии.
Анализ артефактов и командно-контрольной (C2) инфраструктуры показал, что за созданием и управлением Klopatra стоит частная туркоязычная преступная группа. Вредоносная программа не распространяется по модели «вирус как услуга» (MaaS), а используется в рамках закрытого ботнета. Высокая активность разработчиков подтверждается обнаружением как минимум 40 различных сборок вируса, созданных с марта 2025 года.
Техническая архитектура Klopatra свидетельствует о значительном шаге в эволюции мобильных угроз. Троян использует технологию скрытого удаленного доступа (Hidden VNC), которая позволяет злоумышленникам в реальном времени управлять зараженным устройством. Для сокрытия своих действий от пользователя вирус может активировать черный экран, имитируя выключенный дисплей, в то время как на устройстве производятся мошеннические операции.
Для кражи учетных данных Klopatra применяет динамические оверлеи — поддельные окна ввода логина и пароля, которые отображаются поверх легитимных банковских и криптовалютных приложений. Эти фишинговые окна загружаются динамически с командного сервера, что позволяет операторам адаптировать атаки под конкретные приложения, установленные на устройстве жертвы.
Отличительной чертой трояна является использование коммерческого пакета защиты кода Virbox, который крайне редко встречается в вредоносных программах для Android. Разработчики переместили ключевые функции из кода Java в нативные библиотеки, что существенно затрудняет анализ вируса традиционными средствами безопасности. Программа также оснащена механизмами обфускации кода, антиотладки и проверками целостности во время выполнения.
Заражение устройств происходит через многоступенчатую схему с применением социальной инженерии. Пользователей заманивают предложениями установить приложения для просмотра IPTV, которые якобы предоставляют доступ к телеканалам высокого качества. Жертва скачивает приложение-дроппер из ненадежного источника и предоставляет ему разрешение на установку пакетов из неизвестных источников.
Получив необходимое разрешение, дроппер извлекает основную полезную нагрузку Klopatra из встроенного JSON-пакета и устанавливает ее на устройство. Сразу после установки троян запрашивает доступ к службам специальных возможностей Android (Accessibility Services). Предоставление этого разрешения является ключевым моментом, открывающим злоумышленникам полный контроль над устройством.
Злоупотребляя доступом к специальным возможностям, Klopatra получает возможность читать содержимое экрана, записывать нажатия клавиш, выполнять действия от имени пользователя (нажимать кнопки, перемещаться по меню), автоматически предоставлять себе дополнительные разрешения, блокировать собственное удаление и даже пытаться деинсталлировать предустановленные антивирусные приложения.
Мошеннические транзакции проводятся в ходе тщательно срежиссированной последовательности действий, как правило, в ночное время, когда жертва спит, а ее устройство находится на зарядке. Оператор предварительно проверяет три условия: телефон заряжается, экран выключен и устройство не используется.
Если условия соблюдены, вирус снижает яркость экрана до нуля и активирует черный оверлей, создавая видимость выключенного телефона. В фоновом режиме злоумышленник использует ранее украденный PIN-код или графический ключ для разблокировки устройства. Затем он запускает целевое банковское приложение и выводит средства со счета жертвы с помощью серии мгновенных банковских переводов.
Использование коммерческих инструментов защиты, таких как Virbox, указывает на общую тенденцию профессионализации в сфере киберпреступности. Злоумышленники все чаще применяют профессиональные решения для увеличения продолжительности жизни и прибыльности своих вредоносных кампаний. Klopatra является примером продвинутой сборки уже известных техник, объединенных в крайне эффективный и опасный инструмент.
Одновременно с этим фирма по кибербезопасности ThreatFabric сообщила об обнаружении другого незадокументированного банковского трояна для Android под названием Datzbro. Эта вредоносная программа также способна осуществлять атаки с полным захватом устройства (DTO) для проведения мошеннических транзакций. Отмечается, что основной целью Datzbro являются пожилые люди.
Изображение носит иллюстративный характер
Анализ артефактов и командно-контрольной (C2) инфраструктуры показал, что за созданием и управлением Klopatra стоит частная туркоязычная преступная группа. Вредоносная программа не распространяется по модели «вирус как услуга» (MaaS), а используется в рамках закрытого ботнета. Высокая активность разработчиков подтверждается обнаружением как минимум 40 различных сборок вируса, созданных с марта 2025 года.
Техническая архитектура Klopatra свидетельствует о значительном шаге в эволюции мобильных угроз. Троян использует технологию скрытого удаленного доступа (Hidden VNC), которая позволяет злоумышленникам в реальном времени управлять зараженным устройством. Для сокрытия своих действий от пользователя вирус может активировать черный экран, имитируя выключенный дисплей, в то время как на устройстве производятся мошеннические операции.
Для кражи учетных данных Klopatra применяет динамические оверлеи — поддельные окна ввода логина и пароля, которые отображаются поверх легитимных банковских и криптовалютных приложений. Эти фишинговые окна загружаются динамически с командного сервера, что позволяет операторам адаптировать атаки под конкретные приложения, установленные на устройстве жертвы.
Отличительной чертой трояна является использование коммерческого пакета защиты кода Virbox, который крайне редко встречается в вредоносных программах для Android. Разработчики переместили ключевые функции из кода Java в нативные библиотеки, что существенно затрудняет анализ вируса традиционными средствами безопасности. Программа также оснащена механизмами обфускации кода, антиотладки и проверками целостности во время выполнения.
Заражение устройств происходит через многоступенчатую схему с применением социальной инженерии. Пользователей заманивают предложениями установить приложения для просмотра IPTV, которые якобы предоставляют доступ к телеканалам высокого качества. Жертва скачивает приложение-дроппер из ненадежного источника и предоставляет ему разрешение на установку пакетов из неизвестных источников.
Получив необходимое разрешение, дроппер извлекает основную полезную нагрузку Klopatra из встроенного JSON-пакета и устанавливает ее на устройство. Сразу после установки троян запрашивает доступ к службам специальных возможностей Android (Accessibility Services). Предоставление этого разрешения является ключевым моментом, открывающим злоумышленникам полный контроль над устройством.
Злоупотребляя доступом к специальным возможностям, Klopatra получает возможность читать содержимое экрана, записывать нажатия клавиш, выполнять действия от имени пользователя (нажимать кнопки, перемещаться по меню), автоматически предоставлять себе дополнительные разрешения, блокировать собственное удаление и даже пытаться деинсталлировать предустановленные антивирусные приложения.
Мошеннические транзакции проводятся в ходе тщательно срежиссированной последовательности действий, как правило, в ночное время, когда жертва спит, а ее устройство находится на зарядке. Оператор предварительно проверяет три условия: телефон заряжается, экран выключен и устройство не используется.
Если условия соблюдены, вирус снижает яркость экрана до нуля и активирует черный оверлей, создавая видимость выключенного телефона. В фоновом режиме злоумышленник использует ранее украденный PIN-код или графический ключ для разблокировки устройства. Затем он запускает целевое банковское приложение и выводит средства со счета жертвы с помощью серии мгновенных банковских переводов.
Использование коммерческих инструментов защиты, таких как Virbox, указывает на общую тенденцию профессионализации в сфере киберпреступности. Злоумышленники все чаще применяют профессиональные решения для увеличения продолжительности жизни и прибыльности своих вредоносных кампаний. Klopatra является примером продвинутой сборки уже известных техник, объединенных в крайне эффективный и опасный инструмент.
Одновременно с этим фирма по кибербезопасности ThreatFabric сообщила об обнаружении другого незадокументированного банковского трояна для Android под названием Datzbro. Эта вредоносная программа также способна осуществлять атаки с полным захватом устройства (DTO) для проведения мошеннических транзакций. Отмечается, что основной целью Datzbro являются пожилые люди.