Россиян предупредили об Android-трояне Klopatra, маскирующимся под IPTV и VPN-приложения
Изображение: Gilles Lambert (unsplash)
Эксперты зафиксировали распространение нового вредоносного программного обеспечения для Android, получившего название Klopatra. Исследователи из компании Cleafy сообщили, что этот троян представляет собой продвинутый инструмент удалённого доступа и банковского мошенничества. Более 3000 заражённых устройств уже выявлены, а география инцидентов продолжает расширяться.
Klopatra замаскирована под приложение IPTV и VPN под названием «Modpro IP TV + VPN», которое распространяется вне официального магазина Google Play. Это приложение-дроппер служит точкой входа, после установки активируется вредоносный модуль, обладающий широкими возможностями управления устройством жертвы.
Одна из особенностей Klopatra — использование скрытого режима VNC, позволяющего злоумышленникам управлять заражённым смартфоном в реальном времени. При этом экран устройства выглядит выключенным, что создаёт иллюзию бездействия. Троян позволяет удалённо нажимать кнопки, проводить свайпы, выполнять длительные касания и полностью симулировать действия обычного пользователя, включая банковские транзакции.
По данным Cleafy, троян был разработан турецкоязычной киберпреступной группой и не принадлежит к известным семействам Android-вредоносов. Он ориентирован на кражу банковских данных с помощью оверлейных атак, захват буфера обмена и нажатий клавиш, а также сбор информации о криптокошельках.
Для маскировки своей активности Klopatra применяет коммерческую защиту Virbox, которая блокирует реверс-инжиниринг и анализ. В последних версиях используется шифрование строк, реализованное через NP Manager, а также кастомные библиотеки, уменьшающие зависимость от стандартного Java-кода. Встроены средства обнаружения отладчиков, эмуляторов и систем анализа — вредонос работает только на «живых» устройствах.
Важная особенность — использование службы специальных возможностей Android. Через неё троян получает расширенные права, позволяющие имитировать действия пользователя, перехватывать ввод и отслеживать экран. Это делает возможным захват паролей, SMS, данных из банковских приложений и любых других конфиденциальных сведений.
При активации режима VNC Klopatra сначала проверяет состояние устройства — включена ли зарядка, выключен ли экран. Только при «благоприятных» условиях троян приступает к активным действиям, что снижает риск обнаружения пользователем.
Среди атакуемых целей — банковские приложения, цифровые кошельки и любые сервисы, через которые можно получить доступ к деньгам жертвы. Эксперты предупреждают, что использование сторонних источников для установки приложений создаёт высокий риск заражения, особенно если речь идёт о «бесплатных» VPN или IPTV-сервисах. Защита от подобных угроз требует отключения установки из неизвестных источников, регулярных обновлений и отказа от сомнительных предложений в мессенджерах и социальных сетях.
