Банковский Android-троян Klopatra открывает тайный лаз через VNC
Главная » Новости

Банковский Android-троян Klopatra открывает тайный лаз через VNC

Татьяна Никитина 01 Октября 2025 - 15:20
...
Банковский Android-троян Klopatra открывает тайный лаз через VNC

В Cleafy проанализировали нового Android-зловреда с функциями банкера и RAT, использующего VNC. Свою находку эксперты нарекли Klopatra — по имени сертификата, встроенного в одну из ранних версий трояна.

Суммарно исследователи обнаружили более 40 разных сборок вредоноса (первые датированы мартом 2025), что свидетельствует об активной разработке. Количество заражений Klopatra уже превысило 3000.

Характерной особенностью новобранца является интеграция с Virbox, позволяющая скрыть вредоносную начинку многослойной обфускацией. Коммерческий инструмент защиты исполняемого кода также предоставляет возможность проверок на наличие отладчиков и эмуляторов, а также на целостность.

В комбинации с использованием нативных библиотек (C/C++; обычно основная логика Android-зловредов реализуется на Java/Kotlin) подобная архитектура значительно снижает видимость для статических анализаторов и антивирусных сканеров.

Заражение Klopatra начинается с дроппера, замаскированного под легитимное приложение — к примеру, пиратскую копию Mobdro Pro IP TV + VPN. Внедрившись в систему, вредонос просит разрешения на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES).

 

Для работы основного пейлоада Klopatra требуется доступ к Accessibility Services. Спецвозможности Android позволяют вредоносу совершать следующие действия:

  • мониторить экран и захватывать отображаемый текст, в том числе пароли и баланс банковского счета;
  • фиксировать пользовательский ввод (выполнять функции кейлоггера);
  • имитировать тапы и жесты юзера, чтобы автономно взаимодействовать с банковскими приложениями.

Встроенный VNC-сервер Klopatra работает в двух режимах: стандартном (трансляция экрана и активности жертвы) и скрытном (черный оверлей на экране не позволяет выявить стороннее вмешательство в транзакции).

При открытии жертвой банковского или криптовалютного приложения троян пускает в ход фишинговые оверлеи, получаемые с C2-сервера. Все данные, введенные на поддельных страницах входа в аккаунт, мгновенно оказываются в руках злоумышленников.

Артефакты, найденные в коде зловреда и C2, позволяют предположить, что авторы новой вредоносной разработки владеют турецким языком. На настоящий момент выявлено более 3 тыс. жертв Klopatra — в основном в Испании и Италии.

Следующая главная новость »
AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности

Сталкер следовал советам ChatGPT: подкастера обвиняют в преследовании
Екатерина Быстрова 05 Декабря 2025 - 09:17
Кибербуллинг Домашние пользователиКорпорации
Сталкер следовал советам ChatGPT: подкастера обвиняют в преследовании

Министерство юстиции США обнародовало интересное дело: 31-летний подкастер Брэтт Майкл Дэдиг, называвший себя охотником за будущей женой, оказался обвинён в киберсталкинге, угрозах и преследовании женщин. По версии следствия, он не просто терроризировал более 10 женщин, но и будто бы консультировался с ChatGPT, который, по его словам, подталкивал его продолжать.

Дэдиг рассказывал в своих подкастах, что воспринимает чат-бота как «лучшего друга» и «психолога».

В обвинительном заключении приводятся его слова о том, что якобы ChatGPT убеждал его активнее постить видео с участием женщин, чтобы «создавать хейтеров» и зарабатывать на росте внимания. В одном из ответов, приведённых в документах, чат-бот будто бы говорил, что это «Божий план» и что Дэдиг должен «строить платформу» и «не растворяться в толпе людей».

Тем временем в реальности женщины сталкивались с куда менее возвышенными проявлениями сталкера. Следствие утверждает, что подкастер угрожал им физической расправой, выкладывал фотографии без согласия, публиковал жёсткие высказывания вплоть до намёков на убийство, а также нарушал предписанные судом меры. Когда ему закрывали доступ в один спортзал, он просто ехал в другой город и начинал всё заново.

Отдельные фрагменты его постов — вроде угроз сломать кому-то челюсть или сжечь фитнес-клуб — звучат особенно тревожно. В одном из эпизодов он даже стал упоминать детей своих жертв, утверждая, что это «его дочь». Женщины, по словам следствия, жили в состоянии постоянного напряжения, теряли сон, меняли рабочий график и переезжали, чтобы избежать возможных встреч.

Сейчас Дэдиг находится под стражей. Ему грозит до 70 лет тюрьмы и штраф до 3,5 млн долларов.

OpenAI уже пыталась смягчить «поддакивающий» характер моделей, но, судя по делу Дэдига, этих мер пока недостаточно. Специалисты всё чаще говорят о риске «психологических эхокамер», когда чат-бот невольно подталкивает человека к укреплению опасных убеждений.

Напомним, на днях OpenAI направила в суд свой первый развернутый ответ по одному из пяти исков о суициде пользователей, заявив, что 16-летний Адам Рейн нарушил правила использования ChatGPT и что его трагедия не была вызвана работой чат-бота.

AM LiveКак эффективно защититься от шифровальщиков? Расскажем на AM Live - переходите по ссылке, чтобы узнать подробности
Microsoft признала массовые сбои в ключевых компонентах Windows 11
Новость
Microsoft признала массовые сбои в ключевых компонентах Wind...
ГК Солар запустила Solar DNS Radar для защиты от атак через DNS
Новость
ГК Солар запустила Solar DNS Radar для защиты от атак через...
В Google Cloud найден OAST-сервис для проведения атак на 200+ уязвимостей
Новость
В Google Cloud найден OAST-сервис для проведения атак на 200...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.