Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Klopatra Banking-Trojaner

Klopatra Banking-Trojaner

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:

Der bisher unbekannte Android-Banking-Trojaner Klopatra hat über 3.000 Geräte infiziert, wobei Spanien und Italien am stärksten betroffen waren. Die Ende August 2025 von Sicherheitsforschern entdeckte, hochentwickelte Malware kombiniert die Fähigkeiten eines Remote Access Trojan (RAT) mit fortschrittlichen Umgehungstechniken, um Finanzinformationen abzugreifen und betrügerische Transaktionen zu ermöglichen.

Ausgefeilte Angriffstechniken und Fernsteuerung

Klopatra nutzt Hidden Virtual Network Computing (VNC), um die Fernsteuerung infizierter Geräte zu übernehmen. Die Malware nutzt dynamische Overlays, um Anmeldeinformationen zu stehlen und nicht autorisierte Transaktionen auszuführen. Im Gegensatz zu herkömmlicher mobiler Malware integriert Klopatra native Bibliotheken und die kommerzielle Virbox-Codeschutz-Suite, was die Erkennung und Analyse extrem erschwert.

Analysen der Command-and-Control-Infrastruktur (C2) der Malware sowie sprachliche Hinweise deuten darauf hin, dass eine türkischsprachige kriminelle Gruppe Klopatra als privates Botnetz betreibt und es nicht als öffentliche Malware-as-a-Service-Lösung (MaaS) anbietet. Seit März 2025 wurden 40 verschiedene Builds des Trojaners identifiziert.

Wie Opfer angelockt werden

Klopatra verbreitet sich über Social-Engineering-Taktiken und verleitet Benutzer zur Installation von Dropper-Apps, die sich als harmlose Tools tarnen, beispielsweise IPTV-Streaming-Anwendungen. Diese Apps nutzen die Bereitschaft der Benutzer aus, Raubkopien aus nicht vertrauenswürdigen Quellen zu installieren.

Nach der Installation fordert der Dropper die Berechtigung zur Installation von Paketen aus unbekannten Quellen an. Anschließend extrahiert er die Hauptnutzlast von Klopatra aus einem eingebetteten JSON-Packer. Die Malware fordert zusätzlich Android-Bedienungshilfen an, die zwar für die Unterstützung von Benutzern mit Behinderungen konzipiert sind, aber für Folgendes missbraucht werden können:

  • Bildschirminhalt lesen
  • Tastenanschläge aufzeichnen
  • Aktionen autonom ausführen

Auf diese Weise können Angreifer Finanzbetrug begehen, ohne dass das Opfer davon etwas mitbekommt.

Fortschrittliche Architektur für Tarnung und Widerstandsfähigkeit

Klopatra zeichnet sich durch sein fortschrittliches, widerstandsfähiges Design aus:

  • Die Virbox-Integration schützt die Malware vor der Analyse.
  • Zur Erhöhung der Tarnung wurden Kernfunktionen von Java in native Bibliotheken verschoben.
  • Umfangreiche Code-Verschleierung, Anti-Debugging und Laufzeitintegritätsprüfungen erschweren die Erkennung.
  • Bediener erhalten über VNC eine detaillierte Echtzeitsteuerung, einschließlich der Möglichkeit:
  • Stellen Sie eine schwarze Bildschirmüberlagerung bereit, um böswillige Aktivitäten zu verbergen.
  • Führen Sie Bankgeschäfte heimlich durch.
  • Liefern Sie dynamisch gefälschte Anmeldebildschirme an gezielte Finanz- und Kryptowährungs-Apps.

Die Malware deaktiviert außerdem vorinstallierte Antivirensoftware und kann ihre Berechtigungen mithilfe von Eingabehilfediensten erweitern, um eine Beendigung zu verhindern.

Betrugsausführung und strategisches Timing

Die Betreiber von Klopatra folgen einer sorgfältig orchestrierten Angriffssequenz:

  • Überprüfen Sie, ob das Gerät aufgeladen wird, der Bildschirm ausgeschaltet ist und sich das Gerät im Leerlauf befindet.
  • Reduzieren Sie die Bildschirmhelligkeit auf Null und zeigen Sie eine schwarze Überlagerung an.
  • Verwenden Sie gestohlene PINs oder Muster, um auf Banking-Apps zuzugreifen.
  • Führen Sie unbemerkt mehrere Sofortüberweisungen durch.

Diese nächtliche Strategie stellt sicher, dass die Geräte eingeschaltet und unbeaufsichtigt bleiben, was Angreifern ein ideales Zeitfenster für ihre Aktionen bietet, während die Opfer schlafen.

Auswirkungen auf den Finanzsektor

Klopatra erfindet mobile Malware zwar nicht neu, stellt aber eine deutliche Steigerung der Bedrohungskomplexität dar. Durch den Einsatz von Schutzmaßnahmen auf kommerziellem Niveau und Tarntaktiken maximieren die Betreiber sowohl die Rentabilität als auch die Lebensdauer ihrer Systeme.

Google hat bestätigt, dass bei Google Play keine infizierten Apps gefunden wurden. Die Tatsache, dass die Malware auf Vertriebskanäle von Drittanbietern und Raubkopien von Apps angewiesen ist, unterstreicht jedoch das anhaltende Risiko für mobile Benutzer.

Im Trend

Am häufigsten gesehen

Wird geladen...