Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Troyano bancario Klopatra

Troyano bancario Klopatra

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Klopatra, un troyano bancario para Android previamente desconocido, ha comprometido más de 3000 dispositivos, siendo España e Italia los más afectados. Descubierto a finales de agosto de 2025 por investigadores de seguridad informática, este sofisticado malware combina las capacidades de un troyano de acceso remoto (RAT) con técnicas avanzadas de evasión, atacando información financiera y permitiendo transacciones fraudulentas.

Técnicas de ataque sofisticadas y control remoto

Klopatra aprovecha la computación en red virtual oculta (VNC) para obtener control remoto de los dispositivos infectados. Utiliza superposiciones dinámicas para robar credenciales y ejecutar transacciones no autorizadas. A diferencia del malware móvil convencional, Klopatra integra bibliotecas nativas y la suite de protección de código Virbox de nivel comercial, lo que dificulta enormemente su detección y análisis.

El análisis de la infraestructura de Comando y Control (C2) del malware y las pistas lingüísticas indican que un grupo criminal turcoparlante opera Klopatra como una botnet privada, en lugar de ofrecerla como un servicio público de malware (MaaS). Desde marzo de 2025, se han identificado 40 versiones distintas del troyano.

Cómo se atrae a las víctimas

Klopatra se propaga mediante tácticas de ingeniería social, engañando a los usuarios para que instalen aplicaciones de descarga que se hacen pasar por herramientas inofensivas, como aplicaciones de streaming IPTV. Estas aplicaciones se aprovechan de la predisposición de los usuarios a instalar software pirata de fuentes no confiables.

Una vez instalado, el dropper solicita permisos para instalar paquetes de fuentes desconocidas. A continuación, extrae la carga útil principal de Klopatra de un empaquetador JSON integrado. El malware también solicita servicios de accesibilidad de Android, que, si bien están diseñados para ayudar a usuarios con discapacidades, pueden utilizarse de forma abusiva para:

  • Leer el contenido de la pantalla
  • Registrar pulsaciones de teclas
  • Ejecutar acciones de forma autónoma

Esto permite a los atacantes realizar fraudes financieros sin el conocimiento de la víctima.

Arquitectura avanzada para sigilo y resiliencia

Klopatra destaca por su diseño avanzado y resistente:

  • La integración de Virbox protege el malware del análisis.
  • Las funciones principales se trasladaron de Java a bibliotecas nativas para lograr un mayor sigilo.
  • La ofuscación extensa del código, la antidepuración y las verificaciones de integridad en tiempo de ejecución dificultan la detección.
  • Los operadores obtienen control granular en tiempo real a través de VNC, incluida la capacidad de:
  • Utilice una superposición de pantalla negra para ocultar la actividad maliciosa.
  • Realizar transacciones bancarias de forma secreta.
  • Entregar dinámicamente pantallas de inicio de sesión falsas a aplicaciones financieras y de criptomonedas específicas.

El malware también desactiva el software antivirus preinstalado y puede aumentar sus permisos utilizando servicios de accesibilidad para evitar la finalización.

Ejecución de fraudes y sincronización estratégica

Los operadores de Klopatra siguen una secuencia de ataque cuidadosamente orquestada:

  • Compruebe si el dispositivo está cargándose, la pantalla está apagada y el dispositivo está inactivo.
  • Reduce el brillo de la pantalla a cero y muestra una superposición negra.
  • Utilice PIN o patrones robados para acceder a aplicaciones bancarias.
  • Ejecute múltiples transferencias bancarias instantáneas sin ser detectado.

Esta estrategia nocturna garantiza que los dispositivos permanezcan encendidos y desatendidos, lo que brinda a los atacantes una ventana ideal para operar mientras las víctimas duermen.

Implicaciones para el sector financiero

Si bien Klopatra no reinventa el malware móvil, representa un aumento significativo en la sofisticación de las amenazas. Al adoptar protecciones de nivel comercial y tácticas de sigilo, los operadores maximizan tanto la rentabilidad como la vida útil de sus operaciones.

Google ha confirmado que no se han encontrado aplicaciones infectadas en Google Play, pero la dependencia del malware de canales de distribución de aplicaciones de terceros y pirateadas subraya el riesgo constante para los usuarios móviles.

Tendencias

Mas Visto

Cargando...