Bezpečnostní experti odhalili nový sofistikovaný bankovní trojan pro Android s názvem Klopatra, který infikoval více než 3 000 zařízení, zejména ve Španělsku a Itálii. Malware využívá skrytý systém vzdálené správy (VNC), jenž umožňuje útočníkům ovládat infikované telefony v reálném čase a provádět finanční podvody bez vědomí uživatele.
Podle italské bezpečnostní firmy Cleafy byl trojan objeven koncem srpna 2025 a představuje novou úroveň technické vyspělosti. Klopatra kombinuje nativní knihovny s komerčním nástrojem pro ochranu kódu Virbox, který výrazně ztěžuje detekci a analýzu. Analytici se domnívají, že za malwarem stojí turecky mluvící zločinecká skupina provozující uzavřený botnet s desítkami variant od března 2025.
Útoky začínají šířením falešných aplikací, často vydávaných za IPTV nebo jiné streamovací nástroje. Po instalaci tyto aplikace požádají o povolení instalace z neznámých zdrojů, čímž obcházejí bezpečnostní opatření Androidu a nainstalují hlavní škodlivý modul. Trojan následně zneužívá accessibility services – funkce určené pro usnadnění ovládání – k čtení obrazovky, zaznamenávání kláves a automatickému provádění transakcí.
Klopatra se vyznačuje vysokou úrovní nenápadnosti. Pomocí obfuskace, kontrol integrity a anti-debug mechanismů skrývá svou činnost a minimalizuje možnost odhalení. Její VNC modul útočníkům umožňuje simulovat činnost uživatele, zatímco na displeji se zobrazuje černá obrazovka s nulovým jasem, takže zařízení působí neaktivně.
Malware také dokáže automaticky udělovat další oprávnění, odstraňovat bezpečnostní aplikace a zobrazovat falešné přihlašovací formuláře pro krádež údajů z bankovních a kryptoměnových aplikací. Útoky probíhají nejčastěji v noci, kdy jsou zařízení připojena k nabíječce a bez dozoru.
„Klopatra představuje výrazný krok v profesionalizaci mobilního malwaru. Kombinuje technické inovace s využitím komerčních nástrojů k prodloužení životnosti a ziskovosti útoků,“ uvedla společnost Cleafy.
Google reagoval prohlášením, že na Google Play nebyly nalezeny žádné aplikace obsahující tento malware a že uživatelé jsou chráněni službou Google Play Protect, která automaticky detekuje a blokuje známé škodlivé aplikace i mimo oficiální obchod.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
