Исследователи Cleafy выявили ранее неизвестный банковский троян и инструмент удаленного администрирования (RAT) для Android под названием Klopatra. Малварь распространяется под видом приложения IPTV/VPN, уже зафиксировано более 3000 уникальных заражений. Угроза выделяется сочетанием методов кражи финансовых данных и полноценным удаленным управлением устройством через скрытый режим VNC с «черным экраном».
Обнаружение и происхождение: новая ветвь Android-банкинга
По оценке Cleafy, Klopatra не относится к уже задокументированным семействам Android-малвари и, вероятно, разрабатывается акторами, связанными с турецкой киберпреступной сценой. Такая «генетическая» независимость усложняет применение сигнатурных методов детектирования и свидетельствует о растущем диверсифицированном рынке Android-банкеров.
Канал заражения: дроппер вне Google Play
Первичное заражение осуществляется через приложение-дроппер Modpro IP TV + VPN, распространяемое вне официального каталога Google Play. Сайдлоадинг остается ключевым вектором для Android-угроз: пользователи добровольно устанавливают APK из непроверенных источников, обходя встроенные механизмы проверки.
Функции атаки: оверлеи, перехват ввода и мониторинг экрана
Klopatra ориентирован на кражу банковских учетных данных путем демонстрации мошеннических оверлеев поверх легитимных приложений и форм, перехвата контента буфера обмена, а также событий ввода через злоупотребление Accessibility Service. Вредонос способен отслеживать экран в реальном времени, что позволяет извлекать пароли и одноразовые коды, и имитировать касания и жестовую навигацию для автономного проведения операций.
Скрытый VNC: «черный экран» и ручные транзакции
Ключевая особенность — VNC-режим со скрытием активности: для пользователя экран выглядит заблокированным и неактивным, пока оператор выполняет действия на устройстве. Поддерживаются точные тапы по координатам, свайпы и долгие нажатия, достаточные для ручного проведения банковских транзакций и взаимодействия с финансовыми приложениями.
Триггеры активации и минимизация подозрений
Чтобы выбрать подходящий момент для удаленного управления, Klopatra проверяет, находится ли устройство на зарядке и выключен ли экран. Такая логика снижает вероятность того, что пользователь заметит аномальное поведение, и повышает успешность несанкционированных операций.
Противодействие анализу и защите
Малварь усложняет реверс-инжиниринг, применяя коммерческую защиту Virbox, нативные библиотеки (для минимизации следов Java/Kotlin) и шифрование строк с использованием NP Manager. Для повышения выживаемости Klopatra содержит жестко закодированный список популярных мобильных антивирусов и пытается их удалить, тем самым обходя пользовательскую и корпоративную защиту.
Инфраструктура и масштаб кампаний
Cleafy связывает активность с несколькими управляющими серверами, относящимися как минимум к двум кампаниям. С марта 2025 года обнаружено порядка 40 различных сборок, что указывает на активную разработку и быстрые итерации. Совокупный счетчик достиг 3000+ зараженных устройств, и тенденция указывает на дальнейшее расширение охвата.
Почему это важно: тренды Android-банкеров и риск для криптокошельков
Klopatra иллюстрирует устойчивый тренд: злоупотребление Accessibility для перехвата ввода и автоматизации действий остается одним из самых эффективных подходов в Android-банкинге. Наличие VNC с «черным экраном» дает операторам гибкость «ручного фродинга», когда автоматизации недостаточно. Особое внимание следует уделить тому, что вредонос собирает информацию о приложениях криптовалютных кошельков, что повышает риск прямых краж цифровых активов.
Рекомендации по защите Android-устройств
— Устанавливайте приложения только из Google Play и проверяйте разработчика и отзывы; избегайте сторонних APK, особенно «бесплатных IPTV/VPN» с обещаниями премиум-функций.
— Ограничивайте доступ к Accessibility Service: предоставляйте его только жизненно необходимым приложениям и регулярно проверяйте список выданных разрешений.
— Включите и не отключайте Google Play Protect, своевременно обновляйте ОС и приложения, используйте многофакторную аутентификацию в банкинге.
— Следите за признаками компрометации: неожиданные запросы оверлеев, быстрый разряд аккумулятора, исчезновение антивируса, самопроизвольные действия на устройстве.
— Организациям рекомендуется использовать MDM/MAM, политики запрета сайдлоадинга, мониторинг аномалий Accessibility и сетевую фильтрацию C2-трафика.
Klopatra демонстрирует, что современные Android-банкеры совмещают фишинговые оверлеи, перехват ввода и полноценное удаленное управление устройством. Пользователям и компаниям следует усилить цифровую гигиену, ограничить сайдлоадинг и контроль за разрешениями. При первых признаках компрометации важно изолировать устройство, сменить учетные данные и обратиться к специалистам по ИБ — это снижает вероятность финансовых потерь и ускоряет восстановление.
