Ένα νέο, μέχρι πρότινος αδημοσίευτο, Android banking trojan με την ονομασία Klopatra έχει ήδη προσβάλει πάνω από 3.000 συσκευές, κυρίως σε Ισπανία και Ιταλία, σύμφωνα με αναφορά της ιταλικής εταιρείας πρόληψης απάτης Cleafy.
Το κακόβουλο λογισμικό λειτουργεί ως Remote Access Trojan (RAT) και χρησιμοποιεί κρυφή τεχνολογία Virtual Network Computing (VNC) για απομακρυσμένο έλεγχο της συσκευής, καθώς και δυναμικά overlays για υποκλοπή διαπιστευτηρίων, επιτρέποντας έτσι την εκτέλεση ψεύτικων τραπεζικών συναλλαγών.
Οι ερευνητές ασφαλείας της Cleafy, Federico Valentini, Alessandro Strino, Simone Mattia και Michele Roviello, σημειώνουν:
«Το Klopatra αποτελεί σημαντική εξέλιξη στην πολυπλοκότητα του mobile malware. Συνδυάζει εκτεταμένη χρήση native libraries με την ενσωμάτωση του Virbox, ενός εμπορικού εργαλείου προστασίας κώδικα, καθιστώντας το εξαιρετικά δύσκολο στην ανίχνευση και ανάλυση.»
Ανάλυση του command-and-control (C2) συστήματος και γλωσσικά στοιχεία δείχνουν ότι η λειτουργία του Klopatra συνδέεται με τουρκόφωνη εγκληματική ομάδα, η οποία το χρησιμοποιεί ως ιδιωτικό botnet, καθώς δεν υπάρχει καμία δημόσια ένδειξη για διάθεση ως MaaS (malware-as-a-service).
Πώς μολύνονται οι συσκευές
Οι επιθέσεις βασίζονται σε κοινωνική μηχανική με εφαρμογές που υποδύονται «νόμιμες» – συχνά IPTV apps – και διανέμονται εκτός Google Play. Μετά την εγκατάσταση, ζητούν άδεια για εγκατάσταση από άγνωστες πηγές και κατεβάζουν το κύριο payload του Klopatra από ενσωματωμένο JSON packer.
Ακολουθεί εκμετάλλευση των Accessibility Services του Android, που προορίζονται για χρήστες με αναπηρίες αλλά μπορούν να χρησιμοποιηθούν για ανάγνωση οθόνης, καταγραφή πληκτρολογήσεων και απομακρυσμένες ενέργειες.
Στρατηγικός σχεδιασμός και δυσκολία εντοπισμού
Το Klopatra ενσωματώνει το Virbox, εργαλείο εμπορικής προστασίας κώδικα σπάνιο στο Android malware, μαζί με native libraries, αποφεύγοντας την Java για να δυσκολέψει την ανάλυση. Το malware περιλαμβάνει obfuscation, anti-debugging τεχνικές και ελέγχους ακεραιότητας κατά την εκτέλεση.
Χρησιμοποιεί το VNC για πλήρη έλεγχο της συσκευής σε πραγματικό χρόνο, κρύβοντας τις ενέργειες του χειριστή πίσω από μαύρη οθόνη, μειώνοντας τη φωτεινότητα στο μηδέν. Ο επιτιθέμενος, με το PIN που έχει ήδη κλέψει, ανοίγει τραπεζικές εφαρμογές και μεταφέρει χρήματα.
Επίσης, μπορεί να παρακάμπτει antivirus, να αποκτά επιπλέον δικαιώματα και να εμφανίζει ψεύτικες οθόνες σύνδεσης για κλοπή κωδικών σε εφαρμογές τραπεζών και κρυπτονομισμάτων.
Οι δράστες επιλέγουν να ενεργοποιούν τις επιθέσεις κατά τη διάρκεια της νύχτας, όταν οι συσκευές φορτίζονται, είναι ενεργές αλλά απείραχτες, αυξάνοντας έτσι τις πιθανότητες επιτυχίας χωρίς να γίνουν αντιληπτοί.
Google: Δεν υπάρχουν εφαρμογές με Klopatra στο Play Store
Μετά τη δημοσίευση της αναφοράς, εκπρόσωπος της Google δήλωσε πως δεν έχουν βρεθεί εφαρμογές με το Klopatra στο Google Play και ότι το Google Play Protect προστατεύει ενεργά τους χρήστες Android ακόμη και από εφαρμογές που προέρχονται από εξωτερικές πηγές.
