自2025年3月Klopatra發動攻擊以來，該惡意軟體已透過兩個協調運作的僵屍網路，在西班牙和義大利等地感染了超過3,000台裝置。記者孫敬／編譯

資安公司Cleafy的威脅情報團隊於8月底發現了一種新型的Android遠端存取木馬（Remote Access Trojan,RAT），命名為Klopatra。根據研究人員提供的數據，自2025年3月發動攻擊以來，該惡意軟體已透過兩個協調運作的僵屍網路，在西班牙和義大利等地感染了超過3,000台裝置。

延伸閱讀：顛覆籃球體驗！NBA結盟AWS啟動「深度賽場」AI計畫 解析球賽無形影響力

[caption id="attachment_194131" align="aligncenter" width="710"] Klopatra木馬鎖定免費看串流服務的使用者。（圖／卡巴斯基）[/caption]

Klopatra的攻擊手法與高技術門檻防禦

Klopatra的攻擊主要鎖定那些搜尋盜版電視串流應用程式的使用者。該惡意軟體會偽裝成一款名為「Mobdro Pro IP TV + VPN」的IPTV應用程式。由於這類應用程式不被Google Play商店允許上架，駭客得以輕易誘騙用戶從未知來源下載安裝，從而繞過官方的安全審查。

一旦應用程式安裝完成，它會透過一個簡單的使用者介面，引導用戶點擊「繼續安裝」按鈕，並將用戶重新導向至Android的系統設定頁面，指示其授予至關重要的權限。

1. 遠端控制與銀行竊密

一旦部署成功，Klopatra木馬程式將同時具備銀行惡意軟體和遠端存取工具的雙重功能。它使用虛擬網路運算（Virtual Network Computing,VNC）功能，使攻擊者能夠即時取得對受感染設備的完全控制權。

駭客可以在受害者毫無察覺的情況下，遠端操作裝置，包括在應用程式間導航、輸入PIN碼和密碼，甚至進行金錢交易。

2. 商業級代碼保護與快速迭代

對該惡意軟體的技術分析顯示出其高度複雜性。開發者為了避免被資安偵測工具捕捉，整合了Virbox，一種在行動惡意軟體中極為罕見的商業級代碼保護套件。

此外，攻擊者並未使用標準的Java代碼，而是採用了原生函式庫（Native libraries），這為逆向工程和自動化分析工具增加了額外的防禦層。

Cleafy的研究人員分析了木馬樣本，認為該惡意軟體的幕後威脅行為者可能有土耳其背景。從代碼中發現的操作筆記顯示，該威脅行為者不僅負責開發軟體，還管理著從感染到獲利的整個攻擊鏈。

歐洲金融部門面臨的重大威脅

研究人員在報告中寫道：「Klopatra對金融部門和行動裝置使用者構成了重大且複雜的威脅，尤其是在歐洲地區。」

透過追蹤Klopatra近幾個月的活動，Cleafy已識別出超過40個不同的流通版本，這反映出其快速的開發週期與極高的敏捷性。

研究人員總結：「其快速開發週期所展現的敏捷性，表明操作者將持續完善他們的戰術、技術與程序（TTPs），擴大目標清單，並整合新的規避技術，以搶先資安社群一步。」

資料來源：Cybernews

這篇文章 新型木馬「Klopatra」現蹤！偽裝IPTV應用程式 已駭入3,000台Android裝置 最早出現於 科技島-掌握科技新聞、科技職場最新資訊。