これまで知られていなかったAndroidリモートアクセス型トロイの木馬(RAT)がセキュリティ研究者によって特定され、モバイルバンキング脅威の進化における大きな進展となっています。
「Klopatra」と名付けられたこのマルウェアは、2025年8月下旬にCleafyの脅威インテリジェンスチームによって発見され、すでにヨーロッパの金融機関を標的とした大規模なキャンペーンで使用されています。
ほとんどのモバイルマルウェアとは異なり、KlopatraはAndroid攻撃ではめったに見られない商用レベルの保護技術を採用しています。
開発者はVirboxというプロフェッショナルなソフトウェア保護スイートを統合し、機能の多くをJavaからネイティブコードへと移行しました。この組み合わせにより、解析者にとって大きな障害となり、マルウェアが検出を回避し、リバースエンジニアリングに耐性を持つことが可能となっています。
Klopatraは本質的に高度なバンキング型トロイの木馬です。攻撃者はHidden VNCを利用して感染デバイスを遠隔操作し、動的オーバーレイで認証情報を盗み、アクセシビリティサービスの悪用によって被害者に気付かれずに取引を実行できます。
Androidバンキング型トロイの木馬についてさらに読む:AndroidマルウェアがDiscordチャンネル経由でバンキングユーザーを標的に
キャンペーン、運用者、リスク
これまでにKlopatraに関連付けられた主要なボットネットは2つあります。両者を合わせて3000台以上のデバイスが感染しており、被害者の多くはスペインとイタリアに集中しています。研究者はこれらの地域の主要なバンキングアプリを狙った標的型攻撃を観測しており、金融詐欺への注力が確認されています。
また、分析の結果、トルコ語を話す犯罪グループの関与が強く示唆されています。マルウェアのコード内の言語的痕跡、コマンド&コントロール(C2)インフラのフィールド名、さらにはサーバーログに残された運用者の直接的なメモなどから、開発と収益化を管理する統一されたチームの存在がうかがえます。
Cleafyによると、2025年3月以降のKlopatraの活動は異常なほど速い開発サイクルを示しており、40以上の異なるビルドが記録されています。初期バージョンには現在見られる多くの機能がありませんでしたが、最近のアップデートでは文字列暗号化や高度な権限悪用を含む多層的な防御戦略が示されています。
このマルウェアはすでに実際の詐欺未遂にも関与しています。運用者は被害者のデバイスが充電中で放置されている夜間を狙って攻撃を仕掛けることが多いです。盗んだロック解除パターンやPINを使ってバンキングアプリにアクセスし、画面を真っ暗にしてユーザーにスマートフォンがオフになっていると思わせたまま資金を送金します。
高度なモバイルマルウェア
Klopatraは、かつてはデスクトップ脅威に限られていた技術をモバイルマルウェアが取り入れるという増加傾向を浮き彫りにしています。
商用の保護ツールや機敏なアップデートに投資することで、運用者はマルウェアの有効性と耐性を確保しています。
セキュリティ専門家は、Klopatraが将来の脅威のモデルとなる可能性があると警告しており、金融機関にとってリスクが高まっています。
「これは実験ではなく、完全に運用可能な詐欺ツールです」とCleafyは警告しています。
「金融機関や不正対策チームにとって、Klopatraの出現は、静的解析を超えたデバイスレベルの行動監視に焦点を当てた脅威検知ソリューションの必要性を強調しています。脅威インテリジェンスコミュニティにとっても、このグループとそのインフラの継続的な監視が、次の動きを予測し、進化する脅威からユーザーを守るために不可欠となるでしょう。」
翻訳元: https://www.infosecurity-magazine.com/news/android-rat-klopatra-targets/
