Campania a fost orchestrată prin două rețele botnet coordonate, activitate care datează din martie 2025 și vizează în special utilizatori din Spania și Italia. Distribuirea malware-ului se face prin aplicații false de streaming TV pirat, adaptate pentru a păcăli utilizatorii; dropper-ul folosit în campanie se prezintă sub numele Mobdro Pro IP TV + VPN și este promovat pe pagini web externe, nu prin Google Play Store.
Klopatra funcționează simultan ca troian bancar și ca instrument de acces la distanță
Victimele sunt convinse să descarce aplicații din surse necunoscute, iar instalarea este urmată de solicitarea unor permisiuni critice de sistem. Utilizatorii sunt redirecționați către setările Android și încurajați să ofere acces complet aplicației, moment în care dispozitivul devine complet vulnerabil.
După infectare, Klopatra funcționează simultan ca troian bancar și ca instrument de acces la distanță (RAT). Folosind o funcție VNC ascunsă, operatorii pot controla dispozitivul în timp real — pot naviga prin aplicații, introduce coduri PIN și parole și pot efectua tranzacții bancare fără ca victima să observe vreun comportament neobișnuit. Malware-ul abuzează serviciilor de accesibilitate Android pentru a simula acțiuni ale utilizatorului și a obține control total.
Klopatra este mult mai complex decât majoritatea amenințărilor mobile curente
Analiza tehnică arată că Klopatra este mult mai complex decât majoritatea amenințărilor mobile curente. Autorii folosesc Virbox, o suită profesionistă de protecție a codului rar întâlnită în atacuri mobile, pentru a complica detectarea și analiza. În loc de a se baza pe cod Java obișnuit, dezvoltatorii au mutat funcționalitățile critice în biblioteci native, adăugând un strat suplimentar de protecție împotriva instrumentelor automate de analiză. Aceste alegeri tehnice fac ingineria inversă și contramăsurile mult mai dificile.
Cleafy a identificat peste 40 de versiuni diferite ale troianului, un semn al unui ciclu rapid de dezvoltare și perfecționare a instrumentului. Notițele operaționale descoperite în codul sursă indică, potrivit cercetătorilor, că actorii din spatele campaniei sunt de origine turcă și că gestionează întregul lanț al atacului — de la crearea și distribuirea malware-ului până la monetizarea furtului. Gruparea pare a opera un model privat, controlând botnet-urile și payload-urile fără a le lansa public ca un serviciu Malware-as-a-Service.
Agilitatea dezvoltatorilor îi îngrijorează pe specialiști
Specialiștii atrag atenția că agilitatea dezvoltatorilor Klopatra și numărul mare de variante semnalează intenția operatorilor de a extinde lista de ținte și de a adopta noi tehnici de evitare a detecției. Amenințarea este considerată semnificativă și sofisticată pentru sectorul financiar și pentru utilizatorii de dispozitive mobile, în special în Europa, iar actorii pot viza atât aplicațiile bancare, cât și portofelele de criptomonede și alte servicii financiare mobile.
„Klopatra reprezintă o amenințare semnificativă și sofisticată pentru sectorul financiar și pentru utilizatorii de dispozitive mobile, în special în Europa”, subliniază specialiștii într-un raport, conform Cyber News.
În fața acestei campanii, recomandările generale ale cercetătorilor includ evitarea descărcării aplicațiilor din surse necunoscute, folosirea doar a magazinelor oficiale, verificarea permisiunilor cerute de aplicații și activarea mecanismelor de protecție oferite de Google Play Protect.
„Agilitatea cu care se dezvoltă arată că operatorii vor continua să-și perfecționeze metodele, să extindă lista de ținte și să adopte noi tehnici de evitare a detecției”, avertizează experții.
Organizațiile financiare și furnizorii de soluții de securitate sunt sfătuiți să monitorizeze activitatea botnet-urilor și să implementeze detectări pentru comportamente specifice RAT-urilor care operează cu VNC ascuns și abuză serviciilor de accesibilitate.
