Redazione RHC : 2 octubre 2025 16:14
Un troyano bancario y RAT para Android llamado Klopatra se hace pasar por una aplicación de IPTV y VPN y ya ha infectado más de 3000 dispositivos . Este malware es un troyano capaz de monitorear la pantalla del dispositivo en tiempo real, interceptar la entrada, simular navegación por gestos y cuenta con un modo VNC (Computación en Red Virtual) oculto.
Cleafy , la empresa que descubrió el malware, señala que el troyano no está asociado con ninguna familia de malware para Android documentada y parece ser obra de un grupo de piratas informáticos turco.
Klopatra está diseñado para robar credenciales bancarias a través de superposiciones, robar contenidos del portapapeles e interceptar pulsaciones de teclas, robar cuentas de víctimas a través de VNC y recopilar información sobre aplicaciones de billetera de criptomonedas.
El malware se infiltra en los dispositivos de las víctimas a través de una aplicación llamada Modpro IP TV + VPN, que se distribuye fuera de la tienda oficial Google Play.
Klopatra utiliza Virbox (un producto comercial que dificulta la ingeniería inversa y el análisis), utiliza bibliotecas nativas para reducir la huella de Java/Kotlin y cifra cadenas utilizando NP Manager.
La RAT hace un mal uso del Servicio de Accesibilidad de Android para obtener permisos adicionales, interceptar la entrada del usuario, simular toques y gestos y monitorear la pantalla del dispositivo de la víctima para obtener contraseñas y otra información confidencial.
Una de las características clave del malware es su modo VNC de pantalla negra, que permite a los operadores de Klopatra realizar acciones en el dispositivo infectado. Para el usuario, el dispositivo aparece inactivo y con la pantalla bloqueada.
Este modo admite todas las acciones remotas necesarias para realizar transacciones bancarias manuales, incluida la simulación de toques en áreas específicas de la pantalla, deslizamientos hacia arriba y hacia abajo y pulsaciones prolongadas.
Para elegir el momento ideal para activar el modo VNC, el malware comprueba si el dispositivo se está cargando y si la pantalla está apagada, para que el usuario no sospeche nada. Para evitar ser detectado, Klopatra contiene una lista cifrada de nombres de paquetes de antivirus populares para Android e intenta eliminarlos.
Los especialistas de Cleafy han descubierto varios servidores de comando y control de malware. Se cree que están vinculados a dos campañas distintas, que ya han causado más de 3000 infecciones únicas.
Según los investigadores, Klopatra ha estado activo desde marzo de 2025, y durante este tiempo se han lanzado alrededor de 40 versiones diferentes del troyano, lo que indica un desarrollo activo y una rápida evolución del nuevo banquero.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
