Selon Cleafy (Cleafy Labs), un nouveau trojan bancaire Android nommé Klopatra, doté de capacités de RAT et d’un haut niveau d’obfuscation via l’outil commercial Virbox, a ciblé principalement des utilisateurs en Espagne et en Italie, compromettant plus de 3 000 appareils au travers de deux campagnes.
Klopatra se propage via un dropper se faisant passer pour « Mobdro Pro IP TV + VPN », utilisant JSON Packer pour dissimuler sa charge utile. Le malware abuse des Services d’Accessibilité Android pour obtenir un contrôle complet de l’appareil (captures de frappes, manipulation d’UI, enregistrement d’écran, octroi autonome de permissions) et exécute des transactions frauduleuses en temps réel.
Techniquement, l’architecture combine la protection commerciale Virbox et des bibliothèques natives C/C++ afin de déjouer l’analyse statique et dynamique. Les capacités clés incluent un contrôle à distance de type VNC (taps/gestes par coordonnées, navigation système), des attaques par superposition HTML ciblant les apps financières, une exfiltration étendue de données (informations appareil, apps installées, frappes, presse-papiers) et des mécanismes de défense (détection/désinstallation d’apps de sécurité, contournement de l’optimisation de batterie). L’infrastructure C2 est proxyfiée via Cloudflare et structurée en deux botnets distincts.
L’attribution pointe vers un groupe turcophone, corroborée par des champs en langue turque dans les communications C2 et des notes opérationnelles consignées (identifiants victimes, schémas de déverrouillage). Le développement a progressé en au moins trois phases, avec une montée en complexité des commandes et un renforcement de l’obfuscation grâce à Virbox dans les builds récents.
IOC(s) principaux:
- Domaines C2: moviediyari-pro-tv[.]com (botnet Italie, 1 839 bots) ; canli-hd-tv-pro-lnat[.]com (botnet Espagne, 1 171 bots)
- Application leurre: « Mobdro Pro IP TV + VPN »
TTPs observés:
- Dropper déguisé, payload caché via JSON Packer
- Abus des Services d’Accessibilité pour l’escalade de capacités et l’automatisation
- RAT/VNC avec commandes granulaires (taps/gestes, navigation système)
- Overlays HTML sur apps bancaires pour le vol d’identifiants
- Keylogging, capture presse-papiers, inventaire appareil/apps
- Obfuscation avancée: Virbox + code natif C/C++
- Défenses anti-sécurité: détection/désinstallation d’apps de sécurité, contournement optimisation batterie
- C2 derrière Cloudflare avec bots segmentés par pays
Type d’article: analyse de menace visant à exposer l’opération, les capacités, l’attribution et les IOC/TTPs de Klopatra.
🧠 TTPs et IOCs détectés
TTPs
[‘Dropper déguisé, payload caché via JSON Packer’, ‘Abus des Services d’Accessibilité pour l’escalade de capacités et l’automatisation’, ‘RAT/VNC avec commandes granulaires (taps/gestes, navigation système)’, ‘Overlays HTML sur apps bancaires pour le vol d’identifiants’, ‘Keylogging, capture presse-papiers, inventaire appareil/apps’, ‘Obfuscation avancée: Virbox + code natif C/C++’, ‘Défenses anti-sécurité: détection/désinstallation d’apps de sécurité, contournement optimisation batterie’, ‘C2 derrière Cloudflare avec bots segmentés par pays’]
IOCs
[‘moviediyari-pro-tv[.]com’, ‘canli-hd-tv-pro-lnat[.]com’, ‘Application leurre: Mobdro Pro IP TV + VPN’]
🔗 Source originale : https://www.cleafy.com/cleafy-labs/klopatra-exposing-a-new-android-banking-trojan-operation-with-roots-in-turkey