I ricercatori italiani di Cleafy hanno individuato un nuovo malware Android a fine agosto. Klopatra ha funzionalità di trojan bancario e RAT (Remote Access Trojan) che viene distribuito tramite app IPTV e VPN all’esterno del Google Play Store. In base al codice e all’infrastruttura sembra che sia stato sviluppato da cybercriminali turchi. I dispositivi infettati sono oltre 3.000 in Europa, la maggioranza dei quali in Italia e Spagna.
Descrizione di Koplatra
Klopatra viene distribuito tramite l’app Modpro IP TV + VPN che permette di accedere ai contenuti in streaming con la protezione della VPN integrata. L’utente deve ovviamente consentire l’installazione da fonti sconosciute (non dal Play Store). Viene quindi copiato il malware sullo smartphone e chiesti vari permessi, tra cui quello per i servizi di accessibilità che permette di prendere il controllo del sistema operativo.
Klopatra può quindi leggere il testo mostrato sullo schermo (password, messaggi e altro), catturare i tasti premuti (keylogging) e simulare tap e gesture, quindi può eseguire transazioni fraudolente in maniera automatica. Il malware è anche un RAT. Il controllo remoto del dispositivo avviene tramite due modalità VNC (Virtual Network Computing).
La modalità standard permette ai cybercriminali di vedere e interagire con lo schermo. Quella nascosta consente di eseguire azioni da remoto, mentre l’utente vede solo una schermo nero. Essendo un trojan bancario, Klopatra può mostrare interfacce di login simili a quelle di varie banche. In questo modo vengono rubate le credenziali inserite dalle ignare vittime.
I cybercriminali hanno utilizzato diverse tecniche per evitare la rilevazione da parte degli antivirus e i tool di analisi. Per nascondere gli indirizzi IP dei server C2 (command and control) è stato usato un servizio di Cloudflare, ma un errore di configurazione ha permesso di scoprire i veri indirizzi IP.
Klopatra è stato aggiornato più volte, quindi potrebbero essere aggiunte nuove funzionalità. Gli utenti non devono mai scaricare app da siti sconosciuti e non autorizzare i permessi per i servizi di accessibilità.
