Un troyano de banca Android previamente indocumentado llamado Klopatra ha comprometido más de 3.000 dispositivos, con la mayoría de las infecciones reportadas en España e Italia.
La firma de prevención de fraude italiana CLEAFY, que descubrió el sofisticado malware y el troyano de acceso remoto (rata) a fines de agosto de 2025, dijo que aprovecha la computación de red virtual oculta (VNC) para el control remoto de dispositivos infectados y superposiciones dinámicas para facilitar el robo de credenciales, finalmente, las transacciones de fraudulentes.
«Klopatra representa una evolución significativa en la sofisticación de malware móvil», los investigadores de seguridad Federico Valentini, Alessandro Strino, Simone Mattia y Michele Roviello dicho. «Combina un uso extenso de bibliotecas nativas con la integración de Virbox, un conjunto de protección de código de grado comercial, lo que hace que sea excepcionalmente difícil detectar y analizar».
La evidencia recopilada de la infraestructura de comando y control del malware (C2) y pistas lingüísticas en los artefactos asociados sugieren que está siendo operado por un grupo criminal de habla turca como una botnet privada, dada la ausencia de un malware público como el servicio (MAAS). Se han descubierto hasta 40 construcciones distintas desde marzo de 2025.
Las cadenas de ataque que distribuyen Klopatra emplean señuelos de ingeniería social para engañar a las víctimas en la descarga de aplicaciones de gotero que se disfrazan de herramientas aparentemente inofensivas, como aplicaciones IPTV, permitiendo a los actores de amenaza evitar las defensas de seguridad y tomar el control por completo de sus dispositivos móviles.
Ofrecer la capacidad de acceder a los canales de TV de alta calidad como señuelo es una elección deliberada, ya que las aplicaciones de transmisión pirateadas son populares entre los usuarios, que a menudo están dispuestos a instalar tales aplicaciones de fuentes no confiables, por lo tanto, infectando sin saberlo sus teléfonos en el proceso.
La aplicación de gotero, una vez instalada, solicita al usuario que le otorgue permisos para instalar paquetes de fuentes desconocidas. Al obtener este permiso, el cuentagotas extrae e instala la carga útil principal de Klopatra de un Json Packer incrustado dentro de ella. El troyano bancario no es diferente de otro malware de su tipo, buscando permiso para los servicios de accesibilidad de Android para realizar sus objetivos.
Mientras servicios de accesibilidad Es un marco legítimo diseñado para ayudar a los usuarios con discapacidades a interactuar con el dispositivo Android, puede ser un arma potente en manos de los malos actores, que pueden abusar de él para leer el contenido de la pantalla, registrar las pulsaciones de teclas y realizar acciones en nombre del usuario para realizar transacciones fraudulentas de manera autónoma.
«Lo que eleva a Klopatra por encima de la amenaza móvil típica es su arquitectura avanzada, construida para el sigilo y la resiliencia», dijo Clafy. «Los autores de malware tienen Virbox integrado, una herramienta de protección de código de grado comercial que rara vez se ve en el panorama de amenazas de Android. Esto, combinado con un cambio estratégico de funcionalidades centrales de Java a bibliotecas nativas, crea una capa defensiva formidable».
«Esta elección de diseño reduce drásticamente su visibilidad a los marcos de análisis tradicionales y las soluciones de seguridad, aplicando una extensa ofuscación de código, mecanismos anti-debuges y verificaciones de integridad de tiempo de ejecución para obstaculizar el análisis».
Además de incorporar características para maximizar la evasión, la resiliencia y la efectividad operativa, el malware proporciona a los operadores un control granular en tiempo real sobre el dispositivo infectado utilizando características de VNC que son capaces de servir una pantalla negra para ocultar la actividad maliciosa, como ejecutar transacciones bancarias sin sus conocimientos.
Klopatra también utiliza los servicios de accesibilidad para otorgarse permisos adicionales según sea necesario para evitar que el malware se termine, e intenta desinstalar cualquier aplicación antivirus codificada ya instaladas en el dispositivo. Además, puede lanzar pantallas de inicio de sesión de superposición falsas sobre aplicaciones financieras y de criptomonedas para desviar las credenciales. Estas superposiciones se entregan dinámicamente desde el servidor C2 cuando la víctima abre una de las aplicaciones específicas.
Se dice que el operador humano se involucra activamente en intentos de fraude sobre lo que se describe como una «secuencia cuidadosamente orquestada» que implica verificar primero si el dispositivo está cargando, la pantalla está apagada y actualmente no se usa activamente.
Si se cumplen estas condiciones, se emite un comando para reducir el brillo de la pantalla a cero y mostrar una superposición negra, dando la impresión de la víctima de que el dispositivo está inactivo y apagado. En el fondo, sin embargo, los actores de amenaza usan el pin o patrón del dispositivo previamente robado para obtener acceso no autorizado, lanzar la aplicación bancaria específica y drenar los fondos a través de múltiples transferencias bancarias instantáneas.
Los hallazgos muestran que aunque Klopatra no intenta reinventar la rueda, plantea una seria amenaza para el sector financiero debido a un ensamblaje técnicamente avanzado de características para ofuscar su verdadera naturaleza.
«Klopatra marca un paso significativo en la profesionalización del malware móvil, lo que demuestra una clara tendencia de los actores de amenaza que adoptan protecciones de grado comercial para maximizar la vida útil y la rentabilidad de sus operaciones», dijo la compañía.
«Los operadores muestran una clara preferencia por realizar sus ataques durante la noche. Este momento es estratégico: la víctima probablemente está dormida y su dispositivo a menudo se deja cargar, asegurando que permanezca encendido y conectado. Esto proporciona la ventana perfecta para que el atacante opere sin ser detectado».
El desarrollo se produce un día después de que amenazasfabric marcó un troyano de banca Android previamente indocumentado llamado Datzbro Eso puede realizar ataques de adquisición de dispositivos (DTO) y realizar transacciones fraudulentas al aprovecharse de los ancianos.
Fuente