IPTVおよびVPNアプリを装った新たなAndroidバンキングおよびリモートアクセス型トロイの木馬(RAT)「Klopatra」が、ヨーロッパ全域で3,000台以上のデバイスに感染しています。
Klopatraは、画面をリアルタイムで監視し、入力を記録し、ジェスチャーナビゲーションを模倣できる強力なトロイの木馬であり、隠されたバーチャルネットワークコンピューティング(VNC)モードも備えています。
サイバーセキュリティ企業Cleafyの研究者によると、この新しいトロイの木馬は既知のAndroidマルウェアファミリーとは関連が見られず、トルコ語を話すサイバー犯罪グループのプロジェクトであると考えられています。
Klopatraは、オーバーレイ攻撃によるバンキング認証情報の窃取、クリップボードの内容やキーストロークの流出、VNC経由での口座資金の引き出し、暗号通貨ウォレットアプリ情報の収集などを目的に開発されています。
ステルス性と回避性を持つ脅威
このマルウェアは、「Modpro IP TV + VPN」と呼ばれるドロッパーアプリを通じて被害者のデバイスに侵入します。このアプリは公式のGoogle Playプラットフォーム外で配布されています。
出典: Cleafy Labs
Klopatraは、リバースエンジニアリングや解析を妨げる商用グレードのコードプロテクター「Virbox」を統合し、Java/Kotlinの痕跡を減らすためにネイティブライブラリを使用、さらに最近のビルドではNP Managerによる文字列暗号化も利用しています。
Cleafyは、マルウェアが複数のアンチデバッグ機構、実行時整合性チェック、エミュレータ検出機能を備え、解析環境で実行されていないことを確認していると報告しています。
Klopatraは、Androidのアクセシビリティサービスを悪用して追加の権限を取得し、ユーザー入力の取得、タップやジェスチャーの模倣、パスワードやその他の機密情報を得るために被害者の画面を監視します。
出典: Cleafy Labs
主な特徴の一つは、オペレーターが感染デバイスを操作できるブラックスクリーンVNCモードであり、被害者にはロック画面でアイドル状態に見える間に操作が行われます。
このモードでは、指定した画面座標でのタップの模倣、上下スワイプ、長押しなど、手動で銀行取引を行うために必要なすべてのリモート操作がサポートされています。
マルウェアは、デバイスが充電中か画面がオフかを確認し、ユーザーに気付かれずにこのモードを起動する最適なタイミングを判断します。
出典: Cleafy Labs
検出を回避するため、Klopatraは人気のAndroidアンチウイルス製品に対応するパッケージ名のハードコードリストを持ち、それらのアンインストールを試みます。
出典: Cleafy Labs
オペレーターの露呈
言語的特徴や開発・収益化に関する記述から、Cleafyの研究者はKlopatraがトルコの脅威アクターによって運用されていると考えています。
研究者は、2つのキャンペーンに関連する複数のコマンド&コントロール(C2)ポイントを明らかにしており、これらは3,000件の固有感染を記録しています。
出典: Cleafy Labs
マルウェアの運用者はCloudflareを利用してデジタル痕跡を隠していますが、設定ミスによりオリジンIPアドレスが露呈し、C2サーバーが同一プロバイダーに紐付けられることとなりました。
Klopatraが野生で初めて確認された2025年3月以降、40種類の異なるビルドが存在しており、新たなAndroidトロイの木馬として活発な開発と急速な進化が見られます。
Androidユーザーは、不明なウェブサイトからAPKファイルをダウンロードしないこと、アクセシビリティサービスの権限リクエストを拒否すること、そしてPlay Protectを有効にしておくことが推奨されます。
