Нов зловреден софтуер от типа троянски кон създава мащабна ботнет мрежа, чиито жертви рискуват да загубят всичките си средства. Стелт функциите на вируса, който все още не е документиран, го отличават от останалите.
Банковият троянец Kopatra вече е компрометирал най-малко три хиляди Android устройства, предимно в Испания и Италия. Той се характеризира с високо ниво на техническо изпълнение, според специалистите, които вече са имал досег с него.
Еволюция на мобилния зловреден софтуер
Експерти от италианската фирма Cleafy, специализирана в предотвратяването на киберпрестъпления, откриха, че Kopatra използва скрита виртуална мрежова връзка (VNC), за да поддържа контрол над заразените устройства и да прихваща идентификационни данни за достъп.
„Kopatra бележи значителна техническа еволюция в мобилния зловреден софтуер“, заяви Cleafy в блог публикация. „Той комбинира широко използване на оригинални библиотеки на мобилни операционни системи с интеграцията на Virbox, инструмент за защита на код от търговски клас, което прави откриването и анализа изключително трудни“.
Данните, извлечени от контролната инфраструктура на зловредния софтуер, както и езиковите артефакти, показват, че Kopatra е разработен и управляван от група, която борави с турски език.
Ботнет мрежата, състояща се от заразени устройства, изглежда е строго поверителна: не са открити признаци, че Kopatra се рекламира като злонамерен софтуер под наем.
Изследователите са идентифицирали поне 40 различни конфигурации на злонамерения софтуер, най-ранните от които датират от март 2025 г.
Уловка с проста стръв
Първоначалният вектор на атака е традиционното социално инженерство: жертвите са подлъгвани да изтеглят дропер, маскиран като безобидни инструменти, например приложения за пиратска IPTV.
Такива канали са доста популярни сред мобилните потребители, които са склонни да инсталират подобни приложения от опасни източници.
Веднъж попаднал в устройството, дроперът иска разрешение за инсталиране на допълнителни компоненти от неизвестни източници. Ако разрешението бъде дадено, дроперът изтегля и инсталира основното тяло на Kopatra с вграден JSON пакет.
След това Klopatra изисква достъп до услугата за достъпност, което е типично за този тип зловреден софтуер. Нападателите често се опитват да използват услугите за достъпност за свои собствени цели – например, да четат съдържанието на екрана, да прихващат натискания на клавиши или да извършват различни операции от името на потребителя, макар и без негово знание, включително да източат банковата му сметка.
Това обаче не е всичко. Зловредният софтуер използва услугата за достъпност, за да блокира опитите за прекратяване на неговия системен процес, а също така се опитва да премахне всякакъв антивирусен софтуер от системата.
Динамични екрани
Наслагващите се екрани с фалшиви полета за вход се зареждат динамично от контролен сървър, когато потребителят осъществява достъп до определени банкови или финансови приложения. Троянският кон ги идентифицира и зарежда подходящи „фалшиви“ полета.
Нападателите очевидно крадат средства ръчно. Операторът проверява текущото състояние на устройството – ако то не се използва в момента, зарежда се или екранът му е изключен, операторът командва устройството да намали яркостта на дисплея до нула и да го превърне в плътно черно, което го прави да изглежда сякаш е в режим на заспиване.
В действителност операторът използва предварително откраднати идентификационни данни за достъп до устройството и банковите или криптовалутни приложения и тегли средства. Тези атаки почти винаги се извършват през нощта.
„Това, което отличава Kopatra от по-типичните мобилни заплахи, е неговата усъвършенствана архитектура, проектирана да гарантира скритост и устойчивост“, отбелязва Cleafy.
„Авторите на зловредния софтуер са вградили в кода Virbox, инструмент за защита на търговски програми, рядко срещан досега сред източниците на заплахи за Android. Това, заедно със стратегическото решение за мигриране на внедряването на ключова функционалност от Java към оригинални библиотеки, осигурява изключителен слой защита”, допълват експертите.
Подобно архитектурно решение драстично намалява видимостта на троянския кон за традиционните инструменти за анализ и сигурност. “Значителното обфускация на кода, механизмите за отстраняване на грешки и проверките за целостта по време на изпълнение служат за възпрепятстване на анализа“, казват от Cleafy.
Скритостта на троянския кон го отличава, но няма чудеса в начина, по който той прониква в устройството на жертвата. Стръвта са пиратски ресурси, по същество това е социално инженерство, коментират специалисти.
