Раніше не задокументований банківський троян для Android під назвою Klopatra заразив понад 3000 пристроїв, з більшістю випадків у Іспанії та Італії. Виявлений італійською компанією з запобігання шахрайству Cleafy наприкінці серпня 2025 року, Klopatra є складним шкідливим ПЗ та трояном віддаленого доступу (RAT), який використовує прихований Virtual Network Computing (VNC) для віддаленого контролю заражених пристроїв та застосовує динамічні оверлеї для крадіжки облікових даних, полегшуючи шахрайські транзакції.

Технічна складність Klopatra підкреслюється її широким використанням нативних бібліотек та інтеграцією з Virbox, комерційним пакетом захисту коду, що робить його важким для виявлення та аналізу. Дослідники безпеки Federico Valentini, Alessandro Strino, Simone Mattia та Michele Roviello зазначили: “Klopatra представляє значну еволюцію в складності мобільного шкідливого ПЗ.” Докази з її інфраструктури команд та контролю (C2) та лінгвістичні підказки свідчать, що вона керується групою злочинців, що говорять турецькою, як приватний ботнет, з 40 унікальними білдами, ідентифікованими з березня 2025 року. Шкідливе ПЗ поширюється через тактики соціальної інженерії, використовуючи дропер-додатки, замасковані під нешкідливі інструменти, як IPTV-додатки, для обходу захисних заходів та отримання контролю над пристроями.

Ланцюг атаки включає приманювання жертв пропозиціями високоякісних телевізійних каналів, експлуатуючи популярність піратських стримінгових додатків. Після встановлення дропер-додаток запитує дозволи на встановлення пакетів з невідомих джерел, витягує та встановлює основний пейлоуд Klopatra з вбудованого JSON Packer. Троян зловживає сервісами доступності Android, легітимним фреймворком для допомоги користувачам з інвалідністю, для читання вмісту екрану, запису натискань клавіш та виконання шахрайських транзакцій автономно. Cleafy заявила: “Те, що підносить Klopatra над типовими мобільними загрозами, – це її просунута архітектура, побудована для стелсу та стійкості,” відзначаючи її використання Virbox та перехід до нативних бібліотек для посиленого ухилення через обфускацію коду, анти-дебагінг та перевірки цілісності під час виконання.

Можливості Klopatra включають реальний час контроль через VNC, відображення чорного екрану для приховування шкідливих дій, як банківські транзакції, та використання сервісів доступності для отримання додаткових дозволів, запобігання припиненню та видалення антивірусних додатків. Він також запускає фальшиві оверлей-екрани входу для фінансових та криптовалютних додатків, доставлені динамічно з C2-сервера, для витягування облікових даних. Шкідливе ПЗ діє в “ретельно оркестрованій послідовності,” перевіряючи, чи заряджається пристрій, чи вимкнений екран та не використовується, потім знижуючи яскравість до нуля та використовуючи вкрадені PIN-коди або патерни для доступу до банківських додатків та викачування коштів, особливо вночі, коли жертви ймовірно сплять. Cleafy підсумувала: “Klopatra позначає значний крок у професіоналізації мобільного шкідливого ПЗ, демонструючи чітку тенденцію акторів загроз до прийняття комерційного рівня захисту для максимізації тривалості життя та прибутковості їх операцій.”