Банковский Android-троян Klopatra открывает тайный лаз через VNC
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Банковский Android-троян Klopatra открывает тайный лаз через VNC

Татьяна Никитина 01 Октября 2025 - 15:20
...
Банковский Android-троян Klopatra открывает тайный лаз через VNC

В Cleafy проанализировали нового Android-зловреда с функциями банкера и RAT, использующего VNC. Свою находку эксперты нарекли Klopatra — по имени сертификата, встроенного в одну из ранних версий трояна.

Суммарно исследователи обнаружили более 40 разных сборок вредоноса (первые датированы мартом 2025), что свидетельствует об активной разработке. Количество заражений Klopatra уже превысило 3000.

Характерной особенностью новобранца является интеграция с Virbox, позволяющая скрыть вредоносную начинку многослойной обфускацией. Коммерческий инструмент защиты исполняемого кода также предоставляет возможность проверок на наличие отладчиков и эмуляторов, а также на целостность.

В комбинации с использованием нативных библиотек (C/C++; обычно основная логика Android-зловредов реализуется на Java/Kotlin) подобная архитектура значительно снижает видимость для статических анализаторов и антивирусных сканеров.

Заражение Klopatra начинается с дроппера, замаскированного под легитимное приложение — к примеру, пиратскую копию Mobdro Pro IP TV + VPN. Внедрившись в систему, вредонос просит разрешения на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES).

 

Для работы основного пейлоада Klopatra требуется доступ к Accessibility Services. Спецвозможности Android позволяют вредоносу совершать следующие действия:

  • мониторить экран и захватывать отображаемый текст, в том числе пароли и баланс банковского счета;
  • фиксировать пользовательский ввод (выполнять функции кейлоггера);
  • имитировать тапы и жесты юзера, чтобы автономно взаимодействовать с банковскими приложениями.

Встроенный VNC-сервер Klopatra работает в двух режимах: стандартном (трансляция экрана и активности жертвы) и скрытном (черный оверлей на экране не позволяет выявить стороннее вмешательство в транзакции).

При открытии жертвой банковского или криптовалютного приложения троян пускает в ход фишинговые оверлеи, получаемые с C2-сервера. Все данные, введенные на поддельных страницах входа в аккаунт, мгновенно оказываются в руках злоумышленников.

Артефакты, найденные в коде зловреда и C2, позволяют предположить, что авторы новой вредоносной разработки владеют турецким языком. На настоящий момент выявлено более 3 тыс. жертв Klopatra — в основном в Испании и Италии.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

MAX начал блокировать доступ через альтернативные клиенты
Екатерина Быстрова 01 Октября 2025 - 17:31
Домашние пользователиГосударство
MAX начал блокировать доступ через альтернативные клиенты

Платформа MAX начала блокировать доступ через альтернативные клиенты — неофициальные приложения, которые позволяют подключаться к мессенджеру в обход официального софта. В пресс-службе сервиса объяснили это заботой о безопасности: такие программы могут угрожать персональным данным и даже использоваться для рассылки вредоносных файлов от имени пользователя.

Официальный клиент MAX можно скачать в App Store, RuStore и Google Play. На изменения в подходе руководства мессенджера обратили внимание в «РИА Новости»

Напомним, в марте VK запустила бета-версию цифровой платформы MAX, через которую доступны чаты, звонки, голосовые сообщения и передача файлов до 4 ГБ. Развивает сервис «Коммуникационная платформа» — «дочка» VK.

Однако у истории есть и обратная сторона. MAX уже несколько раз оказывался в центре скандалов. В частности, его подозревают в слежке за пользователями, передаче данных за рубеж и использовании компонентов из «недружественных» стран. При этом у разработчика отсутствуют лицензии ФСТЭК и ФСБ России, что вызывает вопросы к уровню защиты сервиса.

Летом MAX и «Инфотекс Интернет Траст» сообщили о тестировании подключения к порталу Госуслуг через ЕСИА с использованием протокола OpenID Connect, позволяющего передавать данные только с согласия пользователя.

Но уже через несколько дней ФСБ выдвинула целый список претензий: в MAX отсутствует криптозащита нужного класса и другие обязательные меры. До выполнения этих требований интеграция с ЕСИА невозможна.

Более подробно проблемы безопасности национального мессенджера мы разбирали в отдельном материале.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Shade BIOS: новый вектор атаки из BIOS, невидимый для антивирусов и ОС
Новость
Shade BIOS: новый вектор атаки из BIOS, невидимый для антиви...
Селфи или рилсы на рабочем месте могут стать поводом для увольнения
Новость
Селфи или рилсы на рабочем месте могут стать поводом для уво...
Данные ЭКГ можно деанонимизировать с точностью 85%
Новость
Данные ЭКГ можно деанонимизировать с точностью 85%

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.