Вы думали, что вы в безопасности ночью? Троян «Klopatra» крадёт деньги со смартфонов пока вы спите

Новый банковский троян для Android под названием Klopatra за несколько недель успел заразить более трёх тысяч смартфонов, большая часть которых находится в Испании и Италии. Вредоносное ПО было выявлено итальянской компанией Cleafy в конце августа 2025 года. Анализ показал, что речь идёт о полноценном инструменте удалённого доступа (RAT), сочетающем несколько сложных приёмов: скрытый VNC для управления устройством, динамические подмены экранов для кражи учётных данных и механизмы автоматизации транзакций.

Исследователи отметили, что Klopatra выделяется среди аналогичных угроз применением необычных для мобильных троянов технологий. Авторы интегрировали Virbox — коммерческую систему защиты кода, которая обычно используется в корпоративных продуктах, но практически не встречается в Android-вредоносах. Дополнительно ключевые функции были перенесены с Java на нативные библиотеки. В результате троян стал крайне устойчивым к разбору: он использует обфускацию, приёмы антиотладки и проверки целостности во время работы, что резко усложняет анализ и обнаружение.

Расследование инфраструктуры управления и артефактов указывает на туркоязычную преступную группу, которая эксплуатирует Klopatra как частный ботнет. С марта 2025 года было зафиксировано около сорока различных сборок. Распространение осуществляется через дропперы, замаскированные под IPTV-приложения. Выбор именно пиратских сервисов не случаен — такие программы популярны у пользователей, и многие готовы устанавливать их из сторонних источников, подвергая устройства риску заражения.

После установки дроппер запрашивает разрешение на установку пакетов из неизвестных источников. Получив доступ, он извлекает основной модуль из встроенного JSON Packer и инсталлирует его. Далее троян добивается права использования Android Accessibility Services — легитимного механизма, изначально предназначенного для помощи людям с ограниченными возможностями.

В руках злоумышленников этот инструмент превращается в средство для чтения содержимого экрана, перехвата нажатий клавиш и выполнения действий от имени пользователя. Это позволяет автоматически инициировать банковские операции без ведома владельца смартфона.

Одной из ключевых особенностей Klopatra стала возможность предоставлять операторам полный контроль в реальном времени через скрытый VNC. При этом на экране жертвы может отображаться чёрный фон, создающий иллюзию, что устройство выключено или неактивно. В этот момент атакующие, имея ранее украденный PIN или графический ключ, запускают банковские приложения и переводят средства сериями мгновенных транзакций.

Для маскировки активности троян дополнительно уменьшает яркость дисплея до нуля и накладывает чёрный слой, чтобы жертва не заметила происходящего. По наблюдениям, атаки часто совершаются ночью, когда смартфон стоит на зарядке и владелец спит.

Вредонос также использует доступ к службам доступности для выдачи себе дополнительных разрешений, блокирует попытки удаления и удаляет определённые антивирусные программы, если они установлены. Помимо этого, Klopatra способен загружать с C2-сервера поддельные окна авторизации для банковских и криптовалютных приложений, подменяя интерфейс в момент открытия программы и незаметно собирая учётные данные.

Специалисты подчёркивают, что хотя в архитектуре Klopatra нет принципиально новых идей, совокупность используемых технологий делает его одним из самых опасных мобильных троянов последнего времени. Он сочетает профессиональные средства защиты кода, гибкие механизмы маскировки и продуманный сценарий эксплуатации устройства, что ставит под угрозу пользователей финансовых сервисов.

Google, комментируя ситуацию, отметила, что заражённые приложения не были обнаружены в магазине Google Play. Компания заявила, что Play Protect по умолчанию активирован на всех устройствах с сервисами Google Play и способен блокировать или предупреждать о попытках установки известных версий вредоносных программ, даже если они загружаются из сторонних источников.