Un troyano de banca Android previamente indocumentado llamado Cropatra ha comprometido más de 3.000 dispositivos, con la mayoría de las infecciones reportadas en España e Italia.
CLEFY, una compañía de prevención de fraude italiana que descubrió sofisticados malware y troyanos de acceso remoto (ratas) a fines de agosto de 2025, aprovecha la computación de la red virtual oculta (VNC) para el control remoto de dispositivos infectados, aprovechando las superposiciones dinámicas para promover el robo de las calificaciones, finalmente establecer procesos de fraudulentes.
«Cropatra representa una evolución significativa en el refinamiento de malware móvil», dijeron los investigadores de seguridad Federico Valentini, Alessandro Storino, Simone Mattia y Michele Loviello. «El uso extenso de bibliotecas nativas combinadas con la integración de Virbox, un conjunto de protección de código de grado comercial, dificulta la detección y el análisis».
La evidencia reunida de las señales lingüísticas del comando de malware y la infraestructura de control (C2) y los artefactos asociados sugieren que los grupos criminales de habla turca la operan como una botnet privada por grupos criminales de habla turca, dada la falta de provisión de malware como servicio (MAAS) como malworks públicos. Desde marzo de 2025, se han descubierto hasta 40 compilaciones diferentes.
La cadena de ataque que distribuye Klopatra utiliza señuelos de ingeniería social para engañar a las víctimas para que descarguen aplicaciones de gotero que las equipen con herramientas aparentemente inofensivas como aplicaciones IPTV y permitan a los actores de amenazas evitar las defensas de seguridad y tener un control total sobre sus dispositivos móviles.
Las aplicaciones de transmisión pirateadas son populares entre los usuarios, por lo que la capacidad de acceder a los canales de TV de alta calidad como señuelos es una elección intencional. Los usuarios desean instalar tales aplicaciones de fuentes no confiables y, por lo tanto, infectar inconscientemente sus teléfonos en el proceso.
Una vez instalada, la aplicación cuentagotas le pedirá al usuario que otorgue permiso para instalar paquetes de fuentes desconocidas. Una vez que tenga este permiso, Dropper extraerá e instalará la carga útil principal de Klopatra del JSON Packer incrustado dentro de ella. Los troyanos bancarios no son diferentes de otro malware de este tipo. Estamos cumpliendo nuestros objetivos buscando el permiso de los servicios de accesibilidad de Android.
Los servicios de accesibilidad son un marco legítimo diseñado para ayudar a los usuarios discapacitados a interactuar con los dispositivos Android, pero puede convertirse en un arma poderosa que puede mal uso y hacer transacciones fraudulentas de manera automática, para leer contenido de pantalla, grabar pulsaciones de teclas y realizar acciones para realizar acciones en su nombre.
«Lo que supera la típica amenaza móvil de Cropatra es la arquitectura sofisticada construida para el sigilo y la resiliencia», dijo Kleef. «El autor de Malware integra Virbox, una herramienta de protección de código de grado comercial que rara vez se ve en el panorama de amenazas de Android. Esto, combinado con un cambio estratégico en la funcionalidad central de Java a bibliotecas nativas, crea una capa de defensa aterradora».
«Esta elección de diseño reduce significativamente la visibilidad de los marcos analíticos y soluciones de seguridad tradicionales, e interrumpe el análisis mediante la aplicación de una extensa ofuscación de código, mecanismos no de desarrollo y controles de integridad de tiempo de ejecución».
Además de incorporar características para maximizar la evasión, la resiliencia y la efectividad operativa, el malware proporciona a los operadores un control granular y en tiempo real de dispositivos infectados que utilizan la función VNC, que puede proporcionar una pantalla negra para ocultar actividades maliciosas, como ejecutar transacciones bancarias sin conocimiento.
Klopatra también intenta utilizar el servicio de accesibilidad para otorgar permisos adicionales según sea necesario para evitar que el malware termine, y desinstalar aplicaciones antivirus codificadas ya está instaladas en su dispositivo. Además, puede iniciar una pantalla de inicio de sesión de superposición falsa sobre sus aplicaciones financieras y de criptomonedas para iniciar sus credenciales de sifón. Estas superposiciones se entregan dinámicamente desde el servidor C2 cuando la víctima abre una de las aplicaciones de destino.
Se dice que los operadores humanos participan activamente en intentos de fraude sobre lo que se llama una «secuencia cuidadosamente organizada», que primero verifica si el dispositivo está cargando, la pantalla está apagada y actualmente no se está utilizando activamente.
Si se cumplen estas condiciones, se emite un comando para reducir el brillo de la pantalla a cero y mostrar una superposición negra, dando a la víctima la impresión de que el dispositivo está inactivo y apagado. Sin embargo, en el fondo, los actores de amenaza usan pines o patrones de dispositivos previamente robados para obtener acceso no autorizado, lanzar aplicaciones bancarias dirigidas y descargar fondos a través de múltiples transferencias bancarias instantáneas.
Los resultados muestran que Cropatra no está tratando de reinventar la rueda, pero representa una seria amenaza para el sector financiero con una colección de funciones técnicamente sofisticadas para ofuscar su verdadera naturaleza.
«Klopatra es un paso clave en la especialización de malware móvil, y muestra una tendencia clara para que los actores de amenazas adopten la protección de grado comercial para maximizar la vida empresarial y la rentabilidad», dijo la compañía.
«Los operadores claramente prefieren atacar por la noche. Este momento es estratégico. Es probable que la víctima esté dormida, y el dispositivo permanece cargado, encendido y conectado.
Este desarrollo se produce al día siguiente, llamado Datzbro, conocido como Android Banking Troya Horse, donde la tela de amenaza no ha sido documentada previamente.
Source link
