Novi Android malver se zove Klopatra i može da napravi veliki problem

Novi Android bankarski i remote access trojanac (RAT) dobio je ime Klopatra, a krije se u IPTV i VPN aplikacije. Zarazio je više od 3.000 uređaja širom Evrope, piše Bleeping Computer.

Klopatra je snažan trojanac, tvrde bezbednosni eksperti, koji može da prati šta korisnik radi preko ekrana u realnom vremenu, da beleži ono što kuca, simulira gestovne navigacije, a poseduje i skriveni VNC (Virtual Network Computing) režim.

Bezbednosni istraživači iz firme Cleafy kažu da se ovaj trojanac ne povezuje ni sa jednom poznatom porodicom Android malvera i da izgleda kao projekat grupe sajber-kriminalaca koji govore turski. Klopatra je razvijena zbog krađe bankarskih podataka putem „overlay” napada, izvlačenja sadržaja iz privremene memorije (clipboard) i pritisnutih tastera, pražnjenja računa preko VNC-a i prikupljanja podataka o kripto-novčanicima.

Malver se u uređaje žrtava infiltrira preko aplikacije-dropera pod nazivom „Modpro IP TV + VPN”, koja se distribuira van zvanične Google Play prodavnice. Kkoristi Virbox, komercijalni softver za zaštitu koda koji otežava „reverse-engineering” i analizu, oslanja se na native biblioteke kako bi smanjio tragove u Java/Kotlin okruženju, a u novijim verzijama koristi i NP Manager enkripciju stringova.

Prema firmi Cleafyju, malver poseduje brojne anti-debug mehanizme, proveru integriteta u realnom vremenu i sposobnost detekcije emulatora, kako bi sprečio analizu u kontrolisanom okruženju. Zloupotrebljava Android Accessibility uslugu da bi sebi dodelio dodatne dozvole, beležio korisničke unose, simulirao dodire i gestove i nadgledao ekran žrtve radi krađe lozinki i drugih osetljivih podataka.

Jedna od ključnih funkcija je VNC režim sa crnim ekranom, koji omogućava napadačima da upravljaju zaraženim uređajem dok korisniku izgleda da je ekran zaključan ili neaktivan. Ovaj režim podržava sve potrebne radnje za ručno izvođenje bankarskih transakcija – simuliranje dodira na određenim koordinatama ekrana, pomeranje gore/dole i dugo pritiskanje tastera. Malver proverava da li se uređaj puni ili da li je ekran ugašen kako bi aktivirao ovaj režim u trenutku kada korisnik to neće primetiti.

Da bi izbegao otkrivanje, Klopatra u sebi sadrži spisak popularnih Android antivirus aplikacija i pokušava da ih ukloni sa uređaja. Od marta 2025., kada se prvi put pojavio, registrovano je 40 različitih verzija, što ukazuje na aktivan razvoj i brzu evoluciju ovog Android trojanca.

Android korisnicima se preporučuje da ne preuzimaju APK fajlove sa nepoznatih sajtova, da odbijaju zahteve za dozvolu pristupa Accessibility Service-u, i da na uređajima drže uključen Play Protect.