Forschende von Cleafy haben mit Klopatra einen bislang nicht dokumentierten Android-Banking-Trojaner mit integrierten Remote-Access-Trojan (RAT)-Funktionen analysiert. Die Malware wird als vermeintliche IPTV/VPN-App verteilt, operiert außerhalb von Google Play und hat bereits über 3000 einzigartige Geräte infiziert. Auffällig ist die Verbindung aus Datendiebstahl, Eingabe-Hijacking und einem versteckten VNC-Modus mit „Black Screen“, der unbemerktes Remote-Banking ermöglicht.
Herkunft und Einordnung: eigenständige Malware-Linie im Android-Ökosystem
Nach Cleafy handelt es sich nicht um einen Ableger bekannter Familien, sondern um eine neue Codebasis mit mutmaßlichen Bezügen zur türkischen Cybercrime-Szene. Diese „genetische“ Unabhängigkeit erschwert signaturbasierte Erkennung und verdeutlicht die Diversifizierung im Markt für Android-Banker. Für Verteidiger bedeutet das: verhaltensbasierte Detection und Policy-Controls gewinnen an Bedeutung.
Infektionskette: Sideloading über Dropper „Modpro IP TV + VPN“
Der Erstzugriff erfolgt via Dropper-App außerhalb des offiziellen Stores. Nutzer installieren ein APK aus Drittquellen (Sideloading) und umgehen so Play-Protect-Prüfungen. Dieser Vektor ist seit Jahren einer der wichtigsten Treiber für Mobile-Malware; Organisationen sollten daher Sideloading policy-basiert unterbinden und nur signierte, geprüfte Quellen zulassen.
Taktiken und Techniken: Overlays, Accessibility-Missbrauch, Bildschirmüberwachung
Klopatra zielt auf die Exfiltration von Banking-Zugangsdaten, indem es Phishing-Overlays über legitime Apps legt, den Zwischenablageinhalt abgreift und mittels Accessibility Service Eingaben liest und automatisiert. Die Malware kann den Bildschirm in Echtzeit überwachen, Passwörter und OTPs erfassen sowie Taps, Swipes und Long-Presses simulieren – ausreichend für eigenständige Transaktionen.
Versteckter VNC-Modus: „Black Screen“ für manuelles Remote-Fraud
Als Kernmerkmal setzt Klopatra auf einen VNC-Zugriff mit schwarzem Bildschirm: Das Gerät wirkt gesperrt und inaktiv, während Operatoren im Hintergrund präzise Eingaben ausführen. Die Malware aktiviert Fernsteuerung typischerweise, wenn Bildschirm aus und Gerät am Laden ist – ein Timing, das Benutzeraufmerksamkeit minimiert und die Erfolgsquote für manuelle Banktransaktionen steigert.
Anti-Analyse, Tarnung und AV-Suppression
Zur Erschwerung der Analyse nutzt die Kampagne Virbox-Schutz, native Bibliotheken zur Reduktion auffälliger Java/Kotlin-Artefakte und String-Verschlüsselung via NP Manager. Zusätzlich enthält Klopatra eine hart kodierte Liste populärer Mobile-AVs und versucht deren Entfernung, um Endpoint-Schutz auf Nutzer- und Unternehmensebene zu umgehen.
Infrastruktur und Kampagnenumfang
Die Forschenden verknüpfen die Aktivität mit mehreren Command-and-Control (C2)-Servern und mindestens zwei Kampagnenlinien. Seit März 2025 wurden rund 40 unterschiedliche Builds beobachtet – ein Indikator für aktive Entwicklung, schnelle Iterationen und operatives Tuning. Der Zähler steht bei 3000+ kompromittierten Geräten, Tendenz steigend.
Risikoabschätzung: Banken, MFA und Kryptowallets im Fokus
Der anhaltende Missbrauch von Accessibility bleibt einer der wirkungsvollsten Hebel im Android-Ökosystem. Der VNC-Black-Screen verschafft Operatoren Flexibilität für manuellen Fraud, wenn Automatisierung an Grenzen stößt (z. B. bei neuen App-Versionen oder UI-Änderungen). Bemerkenswert ist die Erfassung von Krypto-Wallet-Apps, wodurch direkte Diebstähle digitaler Assets möglich werden – ein Trend, der parallel zum mobilen Krypto-Boom an Relevanz gewinnt.
Empfehlungen: Prävention, Erkennung und Reaktion
– Nur offizielle Quellen: Installationen aus Google Play bevorzugen, Entwickler prüfen, Rezensionen lesen; keine „kostenlosen“ IPTV/VPN-APKs aus Drittquellen.
– Zugriffsrechte härten: Accessibility nur für zwingend notwendige Apps freigeben; Berechtigungen regelmäßig auditieren.
– Schutz aktivieren: Google Play Protect eingeschaltet lassen; OS und Apps zeitnah patchen; MFA im Banking nutzen; ungewöhnliche Overlay-Anfragen, Battery Drain und verschwundene AVs ernst nehmen.
– Unternehmensschutz: MDM/MAM einführen, Sideloading unterbinden, Accessibility-Anomalien überwachen, C2-Domains/IPs netzseitig filtern, MITRE ATT&CK for Mobile als Referenzrahmen verwenden.
Organisationen und Nutzer sollten die Kombination aus Overlay-Phishing, Accessibility-Missbrauch und VNC-Remotezugriff als neue Normalität im Mobile-Banking-Fraud betrachten. Wer Sideloading einschränkt, Berechtigungen konsequent steuert und bei ersten Anzeichen (selbsttätige Eingaben, gesperrt wirkender Bildschirm, AV-Deinstallation) Geräte isoliert, Zugangsdaten rotiert und Fachteams einbindet, reduziert die Wahrscheinlichkeit finanzieller Verluste deutlich und beschleunigt die Wiederherstellung.
