Банковский Android-троян Klopatra открывает тайный лаз через VNC
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Банковский Android-троян Klopatra открывает тайный лаз через VNC

Татьяна Никитина 01 Октября 2025 - 15:20
...
Банковский Android-троян Klopatra открывает тайный лаз через VNC

В Cleafy проанализировали нового Android-зловреда с функциями банкера и RAT, использующего VNC. Свою находку эксперты нарекли Klopatra — по имени сертификата, встроенного в одну из ранних версий трояна.

Суммарно исследователи обнаружили более 40 разных сборок вредоноса (первые датированы мартом 2025), что свидетельствует об активной разработке. Количество заражений Klopatra уже превысило 3000.

Характерной особенностью новобранца является интеграция с Virbox, позволяющая скрыть вредоносную начинку многослойной обфускацией. Коммерческий инструмент защиты исполняемого кода также предоставляет возможность проверок на наличие отладчиков и эмуляторов, а также на целостность.

В комбинации с использованием нативных библиотек (C/C++; обычно основная логика Android-зловредов реализуется на Java/Kotlin) подобная архитектура значительно снижает видимость для статических анализаторов и антивирусных сканеров.

Заражение Klopatra начинается с дроппера, замаскированного под легитимное приложение — к примеру, пиратскую копию Mobdro Pro IP TV + VPN. Внедрившись в систему, вредонос просит разрешения на установку приложений из сторонних источников (REQUEST_INSTALL_PACKAGES).

 

Для работы основного пейлоада Klopatra требуется доступ к Accessibility Services. Спецвозможности Android позволяют вредоносу совершать следующие действия:

  • мониторить экран и захватывать отображаемый текст, в том числе пароли и баланс банковского счета;
  • фиксировать пользовательский ввод (выполнять функции кейлоггера);
  • имитировать тапы и жесты юзера, чтобы автономно взаимодействовать с банковскими приложениями.

Встроенный VNC-сервер Klopatra работает в двух режимах: стандартном (трансляция экрана и активности жертвы) и скрытном (черный оверлей на экране не позволяет выявить стороннее вмешательство в транзакции).

При открытии жертвой банковского или криптовалютного приложения троян пускает в ход фишинговые оверлеи, получаемые с C2-сервера. Все данные, введенные на поддельных страницах входа в аккаунт, мгновенно оказываются в руках злоумышленников.

Артефакты, найденные в коде зловреда и C2, позволяют предположить, что авторы новой вредоносной разработки владеют турецким языком. На настоящий момент выявлено более 3 тыс. жертв Klopatra — в основном в Испании и Италии.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Половина мошеннических звонков в России адресована прекрасному полу
Татьяна Никитина 02 Октября 2025 - 14:43
Мошенничество Домашние пользователи
Половина мошеннических звонков в России адресована прекрасному полу

Аналитики из МТС фиксируют изменения в предпочтениях телефонных мошенников при выборе целей. Так, злоумышленники стали чаще атаковать женщин: доля таких звонков с прошлого года возросла с 43,1 до 48,4%. Видимо, представительницы прекрасного пола более отзывчивы, когда в ход идет социальная инженерия, да и приманку для них найти проще.

К тому же современные женщины зачастую сами принимают решения и распоряжаются доходами; такие мишени не менее перспективны, чем мужчины.

Возрастной состав потенциальных жертв обмана тоже изменился. Мошенники стали уделять больше внимания людям зрелого возраста (от 45 до 54 лет; 19,4% звонков). Второе место по степени риска ожидаемо заняли пенсионеры (18%).

Основной целью телефонных мошенников являются россияне с доходом до 50 тыс. руб. (49,1% звонков). Больше половины атак (55%) проводятся в городах-миллионниках; непочетный пьедестал в этом рейтинге делят Москва (23,6%), Санкт-Петербург и Краснодар (по 6,1%).

За восемь месяцев 2025 года (с января по август) защитный сервис МТС заблокировал около 2,3 млрд мошеннических звонков — на 12% больше, чем за аналогичный период 2024-го.

В рамках борьбы с телефонным мошенничеством российских операторов связи обязали блокировать звонки с номеров, не внесенных в базу национального «Антифрода», а в этом году — вообще все обзвоны, за исключением тех, на которые абонент дал согласие.

Роскомнадзор стал блокировать голосовую связь через мессенджеры, и это уже помогло сократить число попыток мошенничества с использованием подобных каналов связи.

Регулятор сферы финансов тоже ужесточил меры противодействия мошенничеству. Кредитные организации теперь должны отслеживать подозрительные транзакции, сверяясь с черным списком Банка России, и в случае совпадений имеют право заблокировать карту и личный кабинет.

Совместные усилия ЦБ и его подопечных по предотвращению мошенничества уже дают искомый эффект. Напомним, в тех случаях, когда банк все же проглядел перевод в пользу аферистов, он обязан возместить пострадавшему ущерб в полном объеме; аналогичное правило будет распространено на операции с цифровым рублем, когда его введут в оборот.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Мошенники хайпят на популярности мессенджера MAX
Новость
Мошенники хайпят на популярности мессенджера MAX
Security Vision 5 получила обновления для автоматизации и аналитики
Новость
Security Vision 5 получила обновления для автоматизации и ан...
Александр Тараканов возглавил направление ИБ в группе Rubytech
Новость
Александр Тараканов возглавил направление ИБ в группе Rubyte...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.