Redazione RHC : 2 Ottobre 2025 16:13
Un trojan bancario e RAT per Android chiamato Klopatra si maschera da app IPTV e VPN e ha già infettato oltre 3.000 dispositivi. Il malware è un trojan in grado di monitorare lo schermo del dispositivo in tempo reale, intercettare gli input, simulare la navigazione gestuale e dispone di una modalità VNC (Virtual Network Computing) stealth.
Cleafy, l’azienda che ha scoperto il malware, fa notare che il Trojan non è associato ad alcuna famiglia di malware Android documentata e sembra essere un progetto di un gruppo di hacker turco.
Klopatra è progettato per rubare credenziali bancarie tramite sovrapposizioni, rubare il contenuto degli appunti e intercettare le sequenze di tasti, svuotare gli account delle vittime tramite VNC e raccogliere informazioni sulle applicazioni di portafoglio di criptovalute.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il malware si infiltra nei dispositivi delle vittime tramite un’app dropper chiamata Modpro IP TV + VPN, distribuita al di fuori dello store ufficiale di Google Play.
Klopatra utilizza Virbox (un prodotto commerciale che rende difficili il reverse engineering e l’analisi), utilizza librerie native per ridurre l’impronta Java/Kotlin e crittografa le stringhe utilizzando NP Manager.
Il RAT sfrutta in modo improprio il servizio di accessibilità di Android per ottenere autorizzazioni aggiuntive, intercettare l’input dell’utente, simulare tocchi e gesti e monitorare lo schermo del dispositivo della vittima per ottenere password e altre informazioni sensibili.
Una delle caratteristiche principali del malware è la modalità VNC con schermo nero, che consente agli operatori di Klopatra di eseguire azioni sul dispositivo infetto. All’utente, il dispositivo appare come se fosse inattivo e con lo schermo bloccato.
Questa modalità supporta tutte le azioni remote necessarie per eseguire transazioni bancarie manuali, tra cui la simulazione di tocchi su aree specifiche dello schermo, scorrimenti verso l’alto e verso il basso e pressioni prolungate.
Per scegliere il momento ideale per attivare la modalità VNC, il malware controlla se il dispositivo è in carica e se lo schermo è spento, in modo che l’utente non sospetti nulla. Per evitare di essere rilevato, Klopatra contiene un elenco codificato di nomi di pacchetti di noti antivirus per Android e tenta di rimuoverli.
Gli specialisti di Cleafy hanno scoperto diversi server di comando e controllo malware. Si ritiene che siano collegati a due campagne diverse, che hanno già causato oltre 3.000 infezioni uniche.
Secondo i ricercatori, Klopatra è attivo da marzo 2025 e durante questo periodo sono state rilasciate circa 40 diverse build del Trojan, il che indica uno sviluppo attivo e una rapida evoluzione del nuovo banker.
RedazioneLa stanza è la solita: luci tenui, sedie in cerchio, termos di tisane ormai diventate fredde da quanto tutti parlano e si sfogano. Siamo gli Shakerati Anonimi, un gruppo di persone che non avrebbe ma...
Un nuovo allarme sulla sicurezza nel mondo degli investimenti online viene portato all’attenzione da Paragon sec, azienda attiva nel settore della cybersecurity, che ha pubblicato su LinkedIn un pos...
Un’indagine su forum e piattaforme online specializzate ha rivelato l’esistenza di un fiorente mercato nero di account finanziari europei. Un’entità denominata “ASGARD”, sta pubblicizzando ...
C’è un fenomeno noto ma di cui si parla poco, e che ogni giorno colpisce senza distinzione: la pornografia algoritmica. È una forma di inquinamento semantico che trasforma l’identità digitale i...
Google si avvicina alla presentazione ufficiale di Gemini 3.0, il nuovo modello di intelligenza artificiale destinato a rappresentare uno dei passaggi più rilevanti nella strategia dell’azienda. Se...
