Поделиться
Хитрый троян для Android перехватывает управление смартфонами. Его жертвы рискуют лишиться всех средств
Троянец Klopatra создаёт масштабный ботнет, жертвы которого рискуют лишиться всех финансовых средств. Средства обеспечении скрытности заметно выделяют его на общем фоне.
Klopatra: родной язык - турецкий
Ранее незадокументированный банковский троянец под Android скомпрометировал не менее трёх тысяч устройств, в основном в Испании и Италии.
Вредонос под названием Klopatra характеризуется высоким уровнем технического исполнения. Как выяснили эксперты итальянской фирмы Cleafy, которая специализируется на предотвращении мошеннических операций в киберпространстве, троянец эксплуатирует скрытую виртуальную сеть передачи данных (VNC) для поддержания контроля над заражёнными устройствами. Для перехвата реквизитов доступа Klopatra использует вполне уже традиционные перекрывающие слои.
«Klopatra знаменует значительную техническую эволюцию вредоносного ПО под мобильные устройства», - говорится в публикации Cleafy. - «Она комбинирует расширенное использование собственных библиотек мобильной операционной системы с интеграцией Virbox, средства защиты кода коммерческого уровня, что предельно затрудняет выявление и анализ».
Данные, извлечённые из контрольной инфраструктуры вредоноса, а также лингвистические артефакты указывают на то, что Klopatra разработана и эксплуатируется группировкой, для членов которой родным языком является турецкий. По всей видимости, ботнет, состоящий из заражённых устройств, является сугубо приватным: никаких признаков рекламирования Klopatra как арендуемого вредоноса найти не удалось.
Исследователи насчитали не менее 40 различных конфигураций вредоносной программы, самые ранние из которых датированы мартом 2025 г.
Ловись, рыбка, на банальную наживку
Изначальный вектор атаки - традиционная социальная инженерия: жертв обманом заставляют скачать дроппер, который выдаётся за безобидные инструменты, такие как приложения для (пиратского) IP-телевидения.
Такие каналы весьма популярны среди пользователей мобильных устройств, и они готовы устанавливать подобные приложения из небезопасных источников.
Оказавшись на устройстве, дроппер запрашивает разрешения на установку дополнительных компонентов из неизвестных источников. Если такое разрешение выдаётся, дроппер скачивает и устанавливает уже основное тело Klopatra со встроенным упаковщиком JSON.
Затем Klopatra запрашивает доступ к службе специальных возможностей, - это довольно типично для таких вредоносов. Злоумышленники нередко пытаются использовать accessibility services в своих целях - для считывания содержимого экрана, например, для перехвата нажатий клавиш или для выполнения разных операций от имени - и без ведома - пользователя.
Например, для очистки его банковского счёта.
Этим, впрочем, дело не ограничивается. Через службу специальных возможностей вредонос блокирует попытки остановить его системный процесс, а также пытается устранить из системы любые антивирусные средства.
Динамические экраны
Перекрывающие экраны с поддельными полями ввода реквизитов доступа динамически загружаются с контрольного сервера, когда пользователь обращается к тем или иным банковским или финансовым приложениям. Троянец идентифицирует их и подгружает подходящие «подделки».
Кражу средств злоумышленники, судя по всему, осуществляют вручную: оператор проверяет текущее состояние устройство, и если оно не используется в текущий момент, находится на подзарядке, а его экран выключен, то оператор отправляет команду снизить яркость дисплея до нуля и перекрыть его сплошным чёрным, так, чтобы казалось, будто устройство пребывает в спящем режиме.
На деле же в это время оператор использует заранее украденные реквизиты доступа к устройству и банковским или криптовалютным приложениям, и выводит финансовые средства. Эти атаки почти всегда осуществляются ночью.
«Что отличает Klopatra от более типичных мобильных угроз, это его продвинутая архитектура, призванная обеспечивать скрытность и устойчивость», - говорится в публикации Cleafy. - «Авторы вредоноса встроили в код Virbox, коммерческий инструмент для защиты кода, который до сих пор редко доводилось наблюдать среди источников угроз для Android. Это, равно как и стратегическое решение перевести реализацию ключевой функциональности с Java на встроенные библиотеки, обеспечивает выдающийся слой защиты. Это архитектурное решение резко снижает видимость троянца для традиционных инструментов анализа и средств безопасности: существенная обфускация кода, противоотладочные механизмы и проверки целостности среды выполнения - всё это служит тому, чтобы затруднить анализ».
«Скрытность троянца выделяет его на общем фоне, однако никаких чудес в том, как он проникает на устройство жертвы, нет: в качестве приманки - пиратские ресурсы, то есть, по сути, социальная инженерия, - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. - Но в итоге желание сэкономить приводит лишь к серьёзнейшим финансовым потерям, вплоть до пропажи всех накоплений».
В Google уже заявили, что в официальном магазине Google Play не выявлено никаких приложений, которые содержали бы компоненты Klopatra, и что пользователи защищены от всех известных её версий благодаря защитному инструменту Google Play Protect. Этот инструмент также предупреждает пользователей о вредоносных приложениях вне зависимости от их источника или просто блокирует их.
Поделиться
Короткая ссылка
