Um trojan bancário para Android, até então desconhecido, chamado Klopatra, já infectou mais de 3.000 dispositivos, com a maior parte dos casos concentrados na Espanha e na Itália.
A empresa italiana de prevenção a fraudes Cleafy descobriu essa ameaça sofisticada — que também funciona como um RAT (Remote Access Trojan) — no final de agosto de 2025.
O Klopatra utiliza Hidden Virtual Network Computing (VNC) para controlar remotamente os aparelhos infectados.
Além disso, emprega overlays dinâmicos para roubo de credenciais, facilitando transações fraudulentas.
Segundo os pesquisadores de segurança Federico Valentini, Alessandro Strino, Simone Mattia e Michele Roviello, “o Klopatra representa uma evolução significativa na sofisticação dos malwares móveis”.
Eles destacam que o trojan combina o uso extensivo de bibliotecas nativas com a integração do Virbox, uma suíte comercial de proteção de código, o que dificulta muito a sua detecção e análise.
A investigação do comando e controle (C2) do malware, além de indícios linguísticos em seus artefatos, sugere que ele é operado por um grupo criminoso de língua turca, funcionando como um botnet privado — não existe, até onde se sabe, um serviço público de malware-as-a-service (MaaS) relacionado.
Desde março de 2025, já foram identificadas cerca de 40 versões distintas do trojan.
A distribuição do Klopatra acontece por meio de estratégias de engenharia social.
Os criminosos enganam as vítimas para que baixem aplicativos “dropper” que se disfarçam de ferramentas inofensivas, como apps IPTV.
Essa escolha é intencional, já que aplicativos de streaming piratas têm grande popularidade e costumam ser instalados a partir de fontes não confiáveis, facilitando a infecção.
Ao ser instalado, o dropper solicita permissões para instalar pacotes de fontes desconhecidas.
Com essa autorização, ele extrai e instala o payload principal do Klopatra, empacotado em JSON.
O trojan então pede acesso aos serviços de acessibilidade do Android, recurso legítimo criado para ajudar pessoas com deficiência a interagir com o aparelho, mas que pode ser usado de forma maliciosa.
Com essas permissões, o malware pode ler o conteúdo da tela, registrar digitação e executar ações pelo usuário, tudo isso para realizar transações fraudulentas automaticamente.
Cleafy enfatiza que “o que diferencia o Klopatra das ameaças móveis comuns é sua arquitetura avançada, projetada para furtividade e resiliência”.
A integração do Virbox, normalmente pouco vista no cenário de ameaças Android, e a transferência de funcionalidades críticas do Java para bibliotecas nativas garantem camadas robustas de defesa contra análises.
O malware ainda aplica forte obfuscação, mecanismos anti-debug e verificações de integridade em tempo real para dificultar a investigação.
Além de fugir da detecção, o trojan entrega controle granular e em tempo real aos operadores por meio dos recursos VNC.
Isso permite, por exemplo, que uma tela preta seja exibida para esconder atividades maliciosas enquanto a fraude acontece.
O Klopatra também se concede permissões extras para evitar que seja encerrado e tenta desinstalar antivírus identificados previamente no aparelho.
Outra tática usada são telas de login falsas que aparecem sobre apps financeiros e de criptomoedas, reaproveitando os dados roubados.
Essas telas são entregues dinamicamente pelo servidor C2 quando o app da vítima é aberto.
Um operador humano conduz as fraudes numa sequência cuidadosamente planejada.
Primeiro, ele verifica se o dispositivo está carregando, com a tela apagada e sem uso ativo.
Se as condições forem atendidas, ele reduz o brilho da tela a zero e exibe uma sobreposição preta para enganar a vítima, que acredita que o aparelho está desligado.
Enquanto isso, os criminosos usam o PIN ou padrão roubado para desbloquear o aparelho, abrir o app bancário e realizar transferências imediatas para esvaziar a conta.
Embora o Klopatra não tenha criado nada revolucionário, sua combinação de recursos avançados representa uma ameaça séria para o setor financeiro.
Cleafy comentou que “o Klopatra simboliza um avanço importante na profissionalização dos malwares móveis, revelando uma tendência clara de grupos criminosos adotando proteções comerciais para estender a vida útil e a lucratividade das operações”.
Outro ponto destacado é a preferência pelos ataques noturnos.
Segundo a empresa, "esse horário é estratégico, pois a vítima provavelmente está dormindo e o aparelho fica carregando, garantindo energia e conexão para as ações maliciosas serem realizadas sem serem percebidas".
Essa revelação sobre o Klopatra surge um dia após a ThreatFabric alertar sobre o trojan bancário Datzbro, que ataca dispositivos para realizar Device Takeover (DTO) e visa especialmente o público idoso.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...