Redazione RHC : 2 octubre 2025 16:14
Un troyano bancario y RAT para Android llamado Klopatra se hace pasar por una aplicación de IPTV y VPN y ya ha infectado más de 3000 dispositivos . Este malware es un troyano capaz de monitorear la pantalla del dispositivo en tiempo real, interceptar la entrada, simular navegación por gestos y cuenta con un modo VNC (Computación en Red Virtual) oculto.
Cleafy , la empresa que descubrió el malware, señala que el troyano no está asociado con ninguna familia de malware para Android documentada y parece ser obra de un grupo de piratas informáticos turco.
Klopatra está diseñado para robar credenciales bancarias a través de superposiciones, robar contenidos del portapapeles e interceptar pulsaciones de teclas, robar cuentas de víctimas a través de VNC y recopilar información sobre aplicaciones de billetera de criptomonedas.
El malware se infiltra en los dispositivos de las víctimas a través de una aplicación llamada Modpro IP TV + VPN, que se distribuye fuera de la tienda oficial Google Play.
Klopatra utiliza Virbox (un producto comercial que dificulta la ingeniería inversa y el análisis), utiliza bibliotecas nativas para reducir la huella de Java/Kotlin y cifra cadenas utilizando NP Manager.
La RAT hace un mal uso del Servicio de Accesibilidad de Android para obtener permisos adicionales, interceptar la entrada del usuario, simular toques y gestos y monitorear la pantalla del dispositivo de la víctima para obtener contraseñas y otra información confidencial.
Una de las características clave del malware es su modo VNC de pantalla negra, que permite a los operadores de Klopatra realizar acciones en el dispositivo infectado. Para el usuario, el dispositivo aparece inactivo y con la pantalla bloqueada.
Este modo admite todas las acciones remotas necesarias para realizar transacciones bancarias manuales, incluida la simulación de toques en áreas específicas de la pantalla, deslizamientos hacia arriba y hacia abajo y pulsaciones prolongadas.
Para elegir el momento ideal para activar el modo VNC, el malware comprueba si el dispositivo se está cargando y si la pantalla está apagada, para que el usuario no sospeche nada. Para evitar ser detectado, Klopatra contiene una lista cifrada de nombres de paquetes de antivirus populares para Android e intenta eliminarlos.
Los especialistas de Cleafy han descubierto varios servidores de comando y control de malware. Se cree que están vinculados a dos campañas distintas, que ya han causado más de 3000 infecciones únicas.
Según los investigadores, Klopatra ha estado activo desde marzo de 2025, y durante este tiempo se han lanzado alrededor de 40 versiones diferentes del troyano, lo que indica un desarrollo activo y una rápida evolución del nuevo banquero.
RedazioneEn los últimos días, algunos usuarios han recibido una notificación diciendo que sus dispositivos Gemini Advanced han sido «actualizados del modelo de la generación anterior al 3.0 Pro, el modelo...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha emitido una alerta global con respecto a la explotación activa de una falla crítica de ejecución remota de c�...
El lunes 20 de octubre, el Canal 4 transmitió un documental completo presentado por un presentador de televisión creativo impulsado completamente por inteligencia artificial. » No soy real. Por pri...
El ecosistema ruso del cibercrimen ha entrado en una fase de profunda transformación, provocada por una combinación de factores: una presión internacional sin precedentes por parte de los organismo...
Investigadores de seguridad han descubierto vulnerabilidades en un sitio web de la FIA que contenía información personal confidencial y documentos relacionados con los pilotos, incluido el campeón ...
