新型木馬「Klopatra」現蹤!偽裝IPTV應用程式 已駭入3,000台Android裝置
記者孫敬/編譯
資安公司Cleafy的威脅情報團隊於8月底發現了一種新型的Android遠端存取木馬(Remote Access Trojan,RAT),命名為Klopatra。根據研究人員提供的數據,自2025年3月發動攻擊以來,該惡意軟體已透過兩個協調運作的僵屍網路,在西班牙和義大利等地感染了超過3,000台裝置。
延伸閱讀:顛覆籃球體驗!NBA結盟AWS啟動「深度賽場」AI計畫 解析球賽無形影響力
Klopatra的攻擊手法與高技術門檻防禦
Klopatra的攻擊主要鎖定那些搜尋盜版電視串流應用程式的使用者。該惡意軟體會偽裝成一款名為「Mobdro Pro IP TV + VPN」的IPTV應用程式。由於這類應用程式不被Google Play商店允許上架,駭客得以輕易誘騙用戶從未知來源下載安裝,從而繞過官方的安全審查。
一旦應用程式安裝完成,它會透過一個簡單的使用者介面,引導用戶點擊「繼續安裝」按鈕,並將用戶重新導向至Android的系統設定頁面,指示其授予至關重要的權限。
1. 遠端控制與銀行竊密
一旦部署成功,Klopatra木馬程式將同時具備銀行惡意軟體和遠端存取工具的雙重功能。它使用虛擬網路運算(Virtual Network Computing,VNC)功能,使攻擊者能夠即時取得對受感染設備的完全控制權。
駭客可以在受害者毫無察覺的情況下,遠端操作裝置,包括在應用程式間導航、輸入PIN碼和密碼,甚至進行金錢交易。
2. 商業級代碼保護與快速迭代
對該惡意軟體的技術分析顯示出其高度複雜性。開發者為了避免被資安偵測工具捕捉,整合了Virbox,一種在行動惡意軟體中極為罕見的商業級代碼保護套件。
此外,攻擊者並未使用標準的Java代碼,而是採用了原生函式庫(Native libraries),這為逆向工程和自動化分析工具增加了額外的防禦層。
Cleafy的研究人員分析了木馬樣本,認為該惡意軟體的幕後威脅行為者可能有土耳其背景。從代碼中發現的操作筆記顯示,該威脅行為者不僅負責開發軟體,還管理著從感染到獲利的整個攻擊鏈。
歐洲金融部門面臨的重大威脅
研究人員在報告中寫道:「Klopatra對金融部門和行動裝置使用者構成了重大且複雜的威脅,尤其是在歐洲地區。」
透過追蹤Klopatra近幾個月的活動,Cleafy已識別出超過40個不同的流通版本,這反映出其快速的開發週期與極高的敏捷性。
研究人員總結:「其快速開發週期所展現的敏捷性,表明操作者將持續完善他們的戰術、技術與程序(TTPs),擴大目標清單,並整合新的規避技術,以搶先資安社群一步。」
資料來源:Cybernews
