Investigadores de Cleafy han documentado Klopatra, un troyano bancario y RAT para Android distribuido como una aplicación de IPTV/VPN fuera de Google Play. La campaña ya acumula más de 3.000 infecciones únicas y destaca por fusionar técnicas clásicas de fraude (superposiciones, abuso de Accessibility) con control remoto VNC en modo “pantalla negra”, lo que permite a los operadores manipular el dispositivo sin que el usuario lo perciba.
Origen y atribución: una cepa independiente en el ecosistema de malware Android
Según Cleafy, Klopatra no hereda código de familias conocidas, lo que complica la detección por firmas y refuerza la tendencia a la diversificación en el mercado de troyanos bancarios Android. La actividad y los indicadores sugieren vínculos con la escena ciberdelictiva turca, aunque la atribución se mantiene como hipótesis operativa.
Vector de entrada: dropper IPTV/VPN fuera de Google Play y riesgo del sideloading
El punto inicial de infección es un dropper denominado Modpro IP TV + VPN, distribuido por fuentes no oficiales. Esta técnica de sideloading de APK elude los controles de Google Play y sigue siendo uno de los vectores más efectivos para el malware móvil, aprovechando descargas “gratuitas” con promesas de funciones premium.
Capacidades de ataque: overlays bancarios, abuso de Accessibility y espionaje de pantalla
Klopatra está orientado al robo de credenciales financieras mediante superposiciones fraudulentas sobre apps legítimas, lectura del portapapeles y intercepción de eventos de entrada a través del Accessibility Service. La muestra monitoriza la pantalla en tiempo real, extrae contraseñas y códigos de un solo uso, y puede simular toques y gestos para completar operaciones sin intervención del usuario.
Control remoto con VNC “pantalla negra”: fraude manual y sigilo operativo
El rasgo diferencial es un modo VNC oculto que oscurece la pantalla del dispositivo, haciendo creer al usuario que está bloqueado mientras el operador ejecuta acciones. Se soportan toques por coordenadas, deslizamientos y pulsaciones prolongadas, suficiente para operar apps bancarias de forma manual cuando la automatización no basta.
Activación condicionada para evitar sospechas
Para reducir la probabilidad de detección, Klopatra comprueba si el terminal está cargando y con la pantalla apagada antes de iniciar el control remoto. Este timing minimiza señales visibles y favorece la ejecución de transacciones no autorizadas.
Evasión y persistencia: ofuscación comercial y anti-AV
El malware dificulta el análisis con protecciones de Virbox, uso intensivo de librerías nativas y cifrado de cadenas atribuido a NP Manager. Además, incluye una lista rígida de antivirus móviles populares que intenta desinstalar, debilitando tanto defensas de usuarios como controles corporativos.
Infraestructura, iteración y alcance de la campaña
Cleafy vincula Klopatra con varios servidores de comando y control (C2) asociados a al menos dos campañas. Desde marzo de 2025 se han observado unas 40 compilaciones distintas, un ritmo que denota desarrollo activo y ciclos rápidos de prueba y despliegue. El recuento supera ya las 3.000 infecciones, con perspectiva de expansión.
Impacto y tendencias: Accessibility y riesgo para wallets de criptomonedas
El caso confirma una tendencia consolidada: el abuso de Accessibility sigue siendo una técnica de alto rendimiento en el fraude móvil, reconocida por marcos como ATT&CK para móvil. La función VNC con pantalla negra otorga flexibilidad para el “fraude manual” cuando los flujos automáticos fallan. Cleafy señala además la recolección de información sobre aplicaciones de criptomonedas, elevando el riesgo de exfiltración directa de activos digitales.
Medidas de mitigación para usuarios y empresas
— Instale apps solo desde Google Play; verifique desarrollador y reseñas. Desconfíe de APK de IPTV/VPN “gratuitos” con funciones premium.
— Restringa Accessibility a apps indispensables y revise periódicamente permisos concedidos.
— Mantenga Google Play Protect activado, actualice sistema y apps, y use MFA en banca.
— Vigile señales de compromiso: solicitudes de overlay inesperadas, alto consumo de batería, desaparición del antivirus o acciones espontáneas del dispositivo.
— En entornos corporativos, aplique MDM/MAM, políticas anti-sideloading, monitoreo de anomalías de Accessibility y filtrado de tráfico C2.
Klopatra ejemplifica la convergencia entre ingeniería social, abuso de Accessibility y control remoto sigiloso en Android. La respuesta eficaz pasa por reducir el sideloading, endurecer permisos y mantener la supervisión. Ante indicios de compromiso, aisle el dispositivo, cambie credenciales y contacte con su equipo de seguridad o un servicio de respuesta a incidentes para limitar pérdidas financieras y acelerar la recuperación.
