Novo Trojan bancário Android usa VNC oculto

07/10/2025 mindsecblog Notícias 0

Novo Trojan bancário Android usa VNC oculto para controle remoto completo de dispositivos.

No final de agosto de 2025, a equipe de Inteligência de Ameaças da Cleafy descobriu o Klopatra, um novo e altamente sofisticado trojan bancário Android e Trojan de Acesso Remoto (RAT) que concede aos invasores controle total sobre dispositivos comprometidos e facilita fraudes financeiras em larga escala.

Campanhas ativas em Espanha e Itália já infectaram mais de 3.000 dispositivos, visando utilizadores de grandes instituições financeiras e drenando contas enquanto as vítimas dormem.

O Klopatra se destaca pela integração do Virbox, uma ferramenta de proteção de código de nível comercial raramente vista em malware móvel. Combinada com uma mudança estratégica da lógica central de Java para bibliotecas C/C++ nativas, essa arquitetura reduz drasticamente a visibilidade de analisadores estáticos e detectores de tempo de execução.

O Virbox envolve a carga maliciosa em múltiplas camadas de ofuscação, verificações anti-depuração, detecção de emuladores e validação de integridade, forçando os pesquisadores a gastar tempo e recursos significativos para fazer engenharia reversa de suas funções.

‘referência virbox’ e suas bibliotecas nativas relacionadas.
‘referência virbox’ e suas bibliotecas nativas relacionadas.

Essas escolhas de design refletem uma profissionalização das ameaças móveis, à medida que as operadoras criminosas investem em proteções avançadas para maximizar a vida útil e a lucratividade do malware.

Pistas linguísticas dentro do código —como nomes de funções em turco— e metadados do Comando e Controle (C2) interface, aponta decisivamente para um grupo de língua turca que gerencia desenvolvimento, implantação e monetização.

Cadeia de infecção: do Dropper ao RAT

A infecção de Klopatra começa com um Dropper de aparência legítima disfarçado de “Mobdro Pro IP TV + VPN.” Este aplicativo de streaming pirata atrai usuários para habilitar permissões “Instalar aplicativos desconhecidos”. Usando um “JSON Packer” personalizado, o dropper oculta a carga principal e a instala silenciosamente quando concedida.

Processo de instalação.
Processo de instalação.

Após a instalação, o trojan solicita imediatamente permissão aos Serviços de Acessibilidade. Originalmente projetada para auxiliar usuários com deficiências, esta estrutura poderosa permite que Klopatra:

  • Monitore a tela, capturando texto na tela (incluindo senhas e saldos).
  • Registre entradas, funcionando como um sistema abrangente keylogger.
  • Simule toques e gestos, permitindo uma navegação autónoma através de aplicações bancárias.

VNC oculto: a capacidade RAT definitiva

No coração de Klopatra encontra-se um edifício embutido Servidor VNC oferecendo dois modos:

  • VNC padrão: exibe a tela do dispositivo para o operador, espelhando a atividade do usuário.
  • VNC oculto: ativa uma sobreposição preta na tela da vítima, fazendo com que o dispositivo pareça desligado enquanto o invasor realiza ações de forma totalmente furtiva.

Este truque “tela preta” é iniciado através do action_blackscreen comando, após o qual os operadores podem desbloquear o dispositivo usando PINs ou padrões roubados, iniciar aplicativos bancários e executar transferências fraudulentas sem alertar o usuário.

Ataques de sobreposição e exfiltração de dados

Complementando o controle direto está um módulo de sobreposição robusto. Quando os usuários abrem aplicativos bancários ou de criptomoedas direcionados, o Klopatra busca HTML personalizado em seu Servidor C2 e injeta uma réplica perfeita da tela de login.

Estatísticas de vítimas’ da infraestrutura C2 (setembro de 2025).
Estatísticas de vítimas’ da infraestrutura C2 (setembro de 2025).

As credenciais inseridas por vítimas involuntárias são imediatamente exfiltradas. Simultaneamente, o trojan coleta metadados do dispositivo —modelo, nível de bateria, aplicativos instalados— e empacota todos os dados em objetos JSON codificados em Base64 para transmissão ao C2.

A análise de Cleafy identificou duas botnets principais:

  • adsservices.uk: Quase 2.433 infecções se concentraram na Espanha.
  • adsservice2.org: Aproximadamente 495 infecções têm como alvo a Itália.
  • Um terceiro servidor menor (141.98.11.227) também atende vítimas espanholas.

Um quarto domínio, guncel-tv-player-lnat.com, parece funcionar como um ambiente de preparação para testar novos recursos, com apenas nove bots registrados em vários países.

Novas infecções diárias (setembro de 2025).
Novas infecções diárias (setembro de 2025).

A origem turca é confirmada por nomes de funções como ArkaUcKomutIsleyicisi (“Backend Command Handler”) e nomes de campos C2 como etiket, favori_durumu e bot_notu. As notas do operador —frases coloquiais em turco que documentam tentativas de transação e códigos PIN— fornecem evidências diretas de um grupo verticalmente integrado de língua turca que lida com todas as fases, desde o desenvolvimento até a execução de fraudes.

Função Backend Command Handler (ArkaUcKomutIsleyicisi).
Função Backend Command Handler (ArkaUcKomutIsleyicisi).

A análise das respostas JSON enviadas pelos servidores C2 revelou que muitos nomes de campos eram palavras turcas.

Implicações e Recomendações

Klopatra lançado um ponto de virada no malware móvel, trazendo proteções de nível de desktop para o Android.

As instituições financeiras e as equipas antifraude devem adotar soluções para além da deteção baseada em assinaturas, centrando-se na monitorização comportamental ao nível do dispositivo e na correlação em tempo real das anomalias das transações.

O compartilhamento contínuo de inteligência sobre ameaças e a busca proativa por amostras Android protegidas pelo Virbox serão cruciais para mitigar essa ameaça emergente.

À medida que grupos criminosos adotam ferramentas de ofuscação comercial e estruturas de código nativas, a comunidade de segurança deve responder com técnicas de análise aprimoradas, aprimoramentos de sandbox e colaboração entre setores para ficar à frente desses sofisticados RATs móveis.

Fonte: GBHackers

Veja também:

About mindsecblog 3243 Articles
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.
Website Facebook Twitter YouTube LinkedIn

Related Articles

Notícias

Vulnerabilidade Crítica Encontrada em Extensões Cisco WebEx

18/07/2017 mindsecblog Notícias 1

Uma vulnerabilidade altamente crítica foi descoberta na extensão de navegador WebEx da Cisco Systems para o Chrome e o Firefox, pela segunda vez neste ano, o que poderia permitir que os invasores executem remotamente códigos […]

Notícias

Vulnerabilidades do Cisco UCS permitem controle completo dos sistemas

04/09/2019 mindsecblog Notícias 5

Vulnerabilidades do Cisco UCS permitem controle completo dos sistemas. Um pesquisador divulgou os detalhes e criou os módulos Metasploit para as vulnerabilidades do Cisco UCS que podem ser exploradas para assumir o controle completo dos […]

Artigos

Cartilha de Cibersegurança – Um guia rápido para Micro e Pequenas Empresas (MPEs)

25/04/2024 mindsecblog Artigos, Notícias 0

Cartilha de Cibersegurança – Um guia rápido para Micro e Pequenas Empresas (MPEs) . Brasscom atuou do lançamento do novo material junto às entidades ABES e VDMA Apenas 37% das pequenas empresas brasileiras possuem políticas […]

Be the first to comment

Deixe sua opinião!