Daha önce belgesiz bir Android Bankacılık Truva atı Chilpatra İspanya ve İtalya’da bildirilen enfeksiyonların çoğunluğu ile 3.000’den fazla cihazdan ödün verdi.
Ağustos 2025’in sonlarında sofistike kötü amaçlı yazılım ve uzaktan erişim Trojan’ı (sıçan) keşfeden İtalyan sahtekarlığı önleme firması Cleafy, enfekte olmuş cihazların uzaktan kontrolü ve kimlik bilgisi hırsızlığını kolaylaştırmak için dinamik kaplamalar için gizli sanal ağ bilgi işlemini (VNC) kullandığını ve sonuçta hileli işlemleri sağladığını söyledi.
Güvenlik araştırmacıları Federico Valentini, Alessandro Strino, Simone Mattia ve Michele Roviello, “Klopatra, mobil kötü amaçlı yazılım sofistikelerinde önemli bir evrimi temsil ediyor.” Dedi. “Yerel kütüphanelerin yaygın kullanımını, ticari sınıf bir kod koruma paketi olan Virbox’ın entegrasyonu ile birleştirerek tespit edilmesini ve analiz edilmesini son derece zorlaştırıyor.”
Kötü amaçlı yazılımların komuta ve kontrol (C2) altyapısından toplanan kanıtlar ve ilişkili eserlerdeki dilsel ipuçları, bir Türk konuşan suç grubu tarafından özel bir botnet olarak işletildiğini göstermektedir. Mart 2025’ten bu yana 40 kadar farklı yapı keşfedildi.
Klopatra dağıtan saldırı zincirleri, kurbanları, IPTV uygulamaları gibi görünüşte zararsız araçlar olarak maskelenen damlalık uygulamalarını indirmek için sosyal mühendislik yemlerini kullanır ve tehdit aktörlerinin güvenlik savunmalarını atlamasına ve mobil cihazlarının tamamen kontrolünü ele geçirmesine izin verir.
Korsan akış uygulamaları, bu tür uygulamaları güvensiz kaynaklardan yüklemeye istekli olan kullanıcılar arasında popüler olduğundan, yüksek kaliteli TV kanallarına bir cazibe olarak erişebilme yeteneği kasıtlı bir seçimdir.
Droper uygulaması, yüklendikten sonra, kullanıcıdan bilinmeyen kaynaklardan paketler yükleme izinleri vermesini ister. Bu izni aldıktan sonra, damlalık, içine gömülü bir JSON paketinden ana klopatra yükünü çıkarır ve kurar. Bankacılık Trojan, türünün diğer kötü amaçlı yazılımlarından farklı değildir ve Android’in erişilebilirlik hizmetlerine hedeflerini gerçekleştirmek için izin arar.
Erişilebilirlik hizmetleri, engelli kullanıcıların Android cihazla etkileşime girmelerine yardımcı olmak için tasarlanmış meşru bir çerçeve olsa da, ekranın içeriğini okumak, tuş vuruşlarını kaydetmek ve hileli işlemleri otonom bir şekilde yürütmek için kullanıcı adına eylemler gerçekleştirebilen kötü aktörlerin elinde güçlü bir silah olabilir.
Cleafy, “Klopatra’yı tipik mobil tehdidin üzerine yükselten şey, gizli ve esneklik için inşa edilen ileri mimarisidir.” Dedi. “Kötü amaçlı yazılım yazarları, Android tehdit manzarasında nadiren görülen ticari sınıf bir kod koruma aracı olan entegre Virbox’a sahipler.
“Bu tasarım seçimi, geleneksel analiz çerçevelerine ve güvenlik çözümlerine görünürlüğünü büyük ölçüde azaltır, kapsamlı kod gizlemesi, anti-kötü niyetli mekanizmalar ve analizi engellemek için çalışma zamanı bütünlüğü kontrolleri uygular.”
Kaçınma, esneklik ve operasyonel etkinliği en üst düzeye çıkarmak için özellikleri dahil etmenin yanı sıra, kötü amaçlı yazılım, operatörlere, bankacılık işlemlerini bilgisi olmadan yürütmek gibi kötü niyetli aktiviteyi gizlemek için siyah bir ekran sunabilen VNC özelliklerini kullanarak enfekte olmuş cihaz üzerinde ayrıntılı, gerçek zamanlı kontrol sağlar.
Klopatra ayrıca, kötü amaçlı yazılımların feshedilmesini önlemek için gerektiği gibi ek izin vermek için erişilebilirlik hizmetlerini kullanır ve cihaza zaten yüklü sabit kodlu antivirüs uygulamalarını kaldırmaya çalışır. Ayrıca, Sifon kimlik bilgilerine finansal ve kripto para birimi uygulamalarının üstünde sahte bindirme giriş ekranları başlatabilir. Bu kaplamalar, kurban hedeflenen uygulamalardan birini açtığında C2 sunucusundan dinamik olarak teslim edilir.
İnsan operatörünün, ilk önce cihazın şarj olup olmadığını, ekranın kapalı olup olmadığını ve şu anda aktif olarak kullanılmadığını kontrol eden “dikkatle düzenlenmiş bir dizi” olarak tanımlanan sahtekarlık denemelerine aktif olarak katıldığı söyleniyor.
Bu koşullar yerine getirilirse, ekran parlaklığını sıfıra indirmek ve siyah bir bindirme görüntülemek için bir komut verilir ve bu da kurbana cihazın aktif olmayan ve kapalı olduğu izlenimini verir. Bununla birlikte, arka planda, tehdit aktörleri, yetkisiz erişim elde etmek, hedeflenen bankacılık uygulamasını başlatmak ve fonları birden fazla anlık banka transferi aracılığıyla boşaltmak için daha önce çalınan cihaz pimini veya desenini kullanır.
Bulgular, Klopatra’nın tekerleği yeniden icat etmeye çalışmasa da, gerçek doğasını gizlemek için teknik olarak ileri özelliklerin bir araya gelmesi nedeniyle finans sektörü için ciddi bir tehdit oluşturduğunu göstermektedir.
Şirket, “Klopatra, mobil kötü amaçlı yazılımların profesyonelleşmesinde önemli bir adım atıyor ve operasyonlarının ömrünü ve karlılığını en üst düzeye çıkarmak için ticari sınıf korumalarını benimseyen tehdit aktörlerinin açık bir eğilimini gösteriyor.” Dedi.
“Operatörler gece boyunca saldırılarını yürütmek için açık bir tercih gösteriyor. Bu zamanlama stratejik: kurban muhtemelen uyuyor ve cihazları genellikle şarj olmasını ve bağlı kalmasını sağlıyor. Bu, saldırganın tespit edilmemesi için mükemmel bir pencere sağlar.”
Geliştirme, TehditFabric’in daha önce belgelenmemiş bir Android bankacılık Truva atı, Datzbro adlı cihaz devralma (DTO) saldırıları gerçekleştirebilen ve yaşlıları avlayarak hileli işlemler yapabilen işaretlemesinden bir gün sonra geliyor.