Исследователи Cleafy нашли новый банковский троян Klopatra: он захватил более 3 000 устройств в Европе, в основном в Испании и Италии, и даёт злоумышленникам полный контроль через скрытую VNC‑сеть. Уже выявили не менее 40 сборок с марта 2025 года.
Эксперты Cleafy обнаружили Klopatra в конце августа 2025 года. Троян маскируют под IPTV‑ или VPN‑приложение, затем он просит права Accessibility и получает возможность имитировать нажатия, читать экран и управлять приложениями без ведома владельца.
Ключевая опасность — скрытая виртуальная сеть управления (Hidden VNC). Через неё операторы подключаются к заражённым телефонам «как к рабочей станции»: видят интерфейс, вводят данные и совершают операции напрямую. Именно это позволяет в короткие сроки выводить деньги с банковских приложений и «горячих» криптокошельков.
Анализ кода и инфраструктуры указывает на туркоязычных операторов. По данным Cleafy, авторы не предлагают Klopatra в аренду — похоже, ботнет приватный и управляют им ограниченные участники.
Троян используют несколько приёмов, чтобы спрятаться от аналитиков. Разработчики упаковали части кода через Virbox — коммерческое средство защиты от реверс‑инжиниринга — and перевели логику в нативные библиотеки, минимизировав Java/Kotlin‑слой. Есть шифрование строк, анти‑отладка и детектирование эмуляторов. Это серьёзно осложняет распаковку и исследование образцов.
Исследователи насчитали минимум 40 разных конфигураций Klopatra; самые ранние образцы датируют мартом 2025 года. По количеству заражённых устройств речь уже идёт о тысячах — больше 3 000 по данным Cleafy, жертвы сосредоточены главным образом в Испании и Италии.
Канал распространения — вне Google Play: злоумышленники используют злонамеренные страницы‑дропперы, выдающие приложение за IPTV/VPN (Modpro IP TV + VPN). После установки троянец пытается отключить известные мобильные антивирусы и блокирует средства защиты.
Что это значит для пользователя? Если вы устанавливали приложения из сторонних источников или давали права Accessibility сомнительным программам, проверьте устройство антивирусом, удалите подозрительные приложения и сбросьте пароли банковских сервисов. Банки и поставщики безопасности уже предупреждают о риске массовых мошеннических переводов и краже криптоактивов.
Читать далее:
Вселенная внутри черной дыры: наблюдения «Уэбба» подтверждают странную гипотезу
Испытания ракеты Starship Илона Маска вновь закончились взрывом в небе
Сразу четыре похожих на Землю планеты нашли у ближайшей одиночной звезды
Обложка: freepik
