Redazione RHC : 2 octubre 2025 16:14
Un troyano bancario y RAT para Android llamado Klopatra se hace pasar por una aplicación de IPTV y VPN y ya ha infectado más de 3000 dispositivos . Este malware es un troyano capaz de monitorear la pantalla del dispositivo en tiempo real, interceptar la entrada, simular navegación por gestos y cuenta con un modo VNC (Computación en Red Virtual) oculto.
Cleafy , la empresa que descubrió el malware, señala que el troyano no está asociado con ninguna familia de malware para Android documentada y parece ser obra de un grupo de piratas informáticos turco.
Klopatra está diseñado para robar credenciales bancarias a través de superposiciones, robar contenidos del portapapeles e interceptar pulsaciones de teclas, robar cuentas de víctimas a través de VNC y recopilar información sobre aplicaciones de billetera de criptomonedas.
El malware se infiltra en los dispositivos de las víctimas a través de una aplicación llamada Modpro IP TV + VPN, que se distribuye fuera de la tienda oficial Google Play.
Klopatra utiliza Virbox (un producto comercial que dificulta la ingeniería inversa y el análisis), utiliza bibliotecas nativas para reducir la huella de Java/Kotlin y cifra cadenas utilizando NP Manager.
La RAT hace un mal uso del Servicio de Accesibilidad de Android para obtener permisos adicionales, interceptar la entrada del usuario, simular toques y gestos y monitorear la pantalla del dispositivo de la víctima para obtener contraseñas y otra información confidencial.
Una de las características clave del malware es su modo VNC de pantalla negra, que permite a los operadores de Klopatra realizar acciones en el dispositivo infectado. Para el usuario, el dispositivo aparece inactivo y con la pantalla bloqueada.
Este modo admite todas las acciones remotas necesarias para realizar transacciones bancarias manuales, incluida la simulación de toques en áreas específicas de la pantalla, deslizamientos hacia arriba y hacia abajo y pulsaciones prolongadas.
Para elegir el momento ideal para activar el modo VNC, el malware comprueba si el dispositivo se está cargando y si la pantalla está apagada, para que el usuario no sospeche nada. Para evitar ser detectado, Klopatra contiene una lista cifrada de nombres de paquetes de antivirus populares para Android e intenta eliminarlos.
Los especialistas de Cleafy han descubierto varios servidores de comando y control de malware. Se cree que están vinculados a dos campañas distintas, que ya han causado más de 3000 infecciones únicas.
Según los investigadores, Klopatra ha estado activo desde marzo de 2025, y durante este tiempo se han lanzado alrededor de 40 versiones diferentes del troyano, lo que indica un desarrollo activo y una rápida evolución del nuevo banquero.
RedazioneMasimo, una empresa estadounidense que desarrolla tecnologías de monitorización médica, ha ganado otra batalla legal contra Apple . Un jurado federal le otorgó 634 millones de dólares por infring...
El software espía (también conocido como aplicaciones espía) representa una de las amenazas más insidiosas y peligrosas de la era digital. Se trata de programas maliciosos diseñados para infiltra...
Google se acerca a la presentación oficial de Gemini 3.0 , el nuevo modelo de inteligencia artificial que representa uno de los pasos más significativos en la estrategia de la compañía. Según inf...
La búsqueda de la inmortalidad es una obsesión generalizada en Silicon Valley. Asimismo, la idea de perfeccionar a los niños mediante la modificación genética es otra. Sam Altman, el hombre que p...
El quishing es una forma emergente de ciberataque que combina el phishing tradicional con el uso de códigos QR , herramientas ya conocidas por muchos. El término « quishing » es una combinación d...
