Дослідники Cleafy задокументували новий зловмисний інструмент для Android під назвою Klopatra, який поєднує функції банківського трояна та RAT (Remote Access Tool). Поширюючись під виглядом додатка IPTV/VPN, він уже спричинив понад 3000 унікальних заражень. Ключова особливість — прихований VNC із «чорним екраном», що дозволяє операторам непомітно керувати смартфоном жертви в режимі реального часу.
Новий ланцюг у родині Android-банкера: походження та відмінності
За оцінкою Cleafy, Klopatra не є похідним від відомих сімейств Android-малварі, а розробляється як окрема гілка, імовірно пов’язана з турецькою кіберкримінальною сценою. Така «генетична незалежність» ускладнює сигнатурне виявлення і підкреслює диверсифікацію ринку банківських троянів для Android.
Ланцюг зараження: сайдлоадинг поза Google Play
Початковий етап інфікування здійснюється через дроппер Modpro IP TV + VPN, що поширюється поза офіційним каталогом Google Play. Сайдлоадинг APK залишається критичним вектором компрометації: користувачі встановлюють пакети з неперевірених джерел, оминаючи вбудовані перевірки безпеки й політики маркета.
Тактика атаки: оверлей-фішинг, перехоплення введення та моніторинг екрана
Klopatra спеціалізується на крадіжці банківських облікових даних і одноразових кодів через показ фішингових оверлеїв поверх легітимних застосунків, перехоплення вмісту буфера обміну та подій введення. Для цього зловмисники активно зловживають Accessibility Service, отримуючи розширені привілеї та видимість активності користувача.
Малварь здатна відстежувати екран у реальному часі і імітувати взаємодії (тапи, свайпи, довгі натискання), що дозволяє як автоматизувати окремі кроки, так і проводити операції, які потребують ручного втручання оператора.
Прихований VNC: «чорний екран» для користувача та повний контроль для оператора
Найбільш небезпечна функція Klopatra — VNC-режим зі штучним «чорним екраном». Поки власник бачить нібито заблокований або неактивний дисплей, кіберзлочинець виконує точні дії на пристрої, включно з навігацією у банківських додатках і ручним проведенням транзакцій.
Тригери активації та уникнення підозр
Щоб мінімізувати ризик викриття, троян активує віддалене керування лише за певних умов — коли пристрій під’єднано до зарядки та екран вимкнено. Така логіка зменшує ймовірність того, що користувач помітить аномалії.
Протидія аналізу та знищення захисту
Для ускладнення реверсінгу Klopatra застосовує комерційний захист Virbox, переносить чутливу логіку в нативні бібліотеки й шифрує рядки (зокрема за допомогою підходів, подібних до NP Manager). Окрім того, у коді наявний жорстко закодований список мобільних антивірусів; троян намагається їх деінсталювати, підриваючи як користувацький, так і корпоративний периметр безпеки.
Інфраструктура та масштаб кампаній
Аналітики пов’язують активність із кількома C2-серверами, що вказує щонайменше на дві паралельні кампанії. Із березня 2025 року зафіксовано близько 40 різних збірок — це підтверджує активну розробку та швидкі ітерації. Сукупний лічильник сягнув 3000+ заражених пристроїв, і тренд свідчить про подальше масштабування.
Чому це важливо: тренди Android-банкера та ризик для криптогаманців
Klopatra підкреслює сталу тенденцію в Android-загрозах: зловживання Accessibility Service для перехоплення введення й автоматизації дій залишається одним із найефективніших підходів. Наявність VNC із «чорним екраном» додає гнучкість для «ручного фродингу», коли авто-скрипти не спрацьовують. Окрему увагу привертає збір даних про додатки криптогаманців, що підвищує ризик прямих викрадень цифрових активів.
Рекомендації із захисту Android-пристроїв
— Встановлюйте додатки лише з Google Play, перевіряйте видавця та відгуки; уникайте сторонніх APK, особливо «безкоштовних IPTV/VPN» із «преміум»-обіцянками.
— Обмежуйте доступ до Accessibility Service: надавайте його тільки критично необхідним застосункам і регулярно ревізуйте видані дозволи.
— Тримайте Google Play Protect увімкненим, своєчасно оновлюйте ОС і застосунки, увімкніть багатофакторну автентифікацію у банкінгу.
— Стежте за ознаками компрометації: неочікувані оверлеї, швидке розряджання акумулятора, зникнення антивіруса, самовільні дії пристрою.
— Організаціям варто застосовувати MDM/MAM, забороняти сайдлоадинг, моніторити аномалії Accessibility і фільтрувати C2-трафік на мережевому рівні.
Klopatra демонструє еволюцію Android-банкера: поєднання оверлей-фішингу, перехоплення введення та повноцінного віддаленого керування створює високий ризик для фінансів і цифрових активів. Якщо ви помітили підозрілу активність, негайно ізолюйте пристрій від мережі, змініть облікові дані та зверніться до фахівців із кібербезпеки. Регулярний аудит дозволів, відмова від сайдлоадингу та навчання користувачів — найпростіші кроки, що суттєво знижують імовірність інциденту.
