Published on

Novo Trojan bancário Klopatra controla smartphones

Authors

Novo Trojan Bancário Android "Klopatra" Usa VNC Oculto para Controlar Smartphones Infectados

Klopatra é um trojan bancário Android previamente não documentado que já comprometeu mais de 3.000 dispositivos, com a maioria das infecções relatadas na Espanha e Itália.

Descoberto pela empresa italiana de prevenção a fraudes Cleafy em agosto de 2025, o malware sofisticado utiliza Virtual Network Computing (VNC) Oculto para controle remoto de dispositivos infectados e sobreposições dinâmicas para facilitar o roubo de credenciais, permitindo transações fraudulentas.

Características Principais

  • Arquitetura Avançada: Combina bibliotecas nativas com Virbox, uma suíte comercial de proteção de código
  • Dificuldade de Detecção: Aplicação extensiva de ofuscação de código, mecanismos anti-debugging e verificações de integridade em tempo de execução
  • Controle Granular: Operadores têm controle em tempo real sobre dispositivos infectados via VNC
  • Operação Noturna: Preferência por ataques durante a noite quando vítimas estão dormindo

Método de Infecção

O Klopatra é distribuído através de aplicativos dropper que se disfarçam de ferramentas aparentemente inofensivas, como aplicativos IPTV. Uma vez instalado, o dropper solicita permissão para instalar pacotes de fontes desconhecidas e extrai o payload principal do Klopatra.

Funcionalidades Maliciosas

  • Abuso de Serviços de Acessibilidade: Lê conteúdo da tela, grava pressionamentos de tecla e executa ações autônomas
  • Remoção de Antivírus: Tenta desinstalar aplicativos antivírus pré-instalados
  • Telas de Login Falsas: Lança sobreposições dinâmicas sobre aplicativos financeiros e de criptomoedas
  • Ocultação de Atividade: Exibe tela preta durante transações fraudulentas para enganar vítimas

Operação Fraudulenta

Os operadores verificam se o dispositivo está carregando, com tela desligada e não está sendo usado ativamente. Se essas condições forem atendidas, reduzem o brilho da tela para zero e exibem uma sobreposição preta, enquanto acessam o aplicativo bancário usando PIN ou padrão previamente roubado para drenar fundos através de transferências bancárias instantâneas.

A Cleafy descreve o Klopatra como "um passo significativo na profissionalização do malware móvel", demonstrando uma tendência clara de atores de ameaças adotando proteções de nível comercial para maximizar a vida útil e a lucratividade de suas operações.