Un troyano de banca Android previamente indocumentado llamado Chilpatra ha comprometido más de 3.000 dispositivos, con la mayoría de las infecciones reportadas en España e Italia.
La firma de prevención de fraude italiana CLEAFY, que descubrió el sofisticado malware y el troyano de comunicación remoto (rata) a fines de agosto de 2025, dijo que aprovecha la computación de red aparente oculta (VNC) para el control remoto de dispositivos infectados y superposiciones dinámicas para proveer el robo de credenciales, finalmente, las transacciones de fraudulentes.
«Klopatra representa una crecimiento significativa en la sofisticación de malware móvil», dijeron los investigadores de seguridad Federico Valentini, Alessandro Strino, Simone Mattia y Michele Roviello. «Combina un uso extenso de bibliotecas nativas con la integración de Virbox, un conjunto de protección de código de porción comercial, lo que hace que sea excepcionalmente difícil detectar y analizar».
La evidencia recopilada de la infraestructura de comando y control del malware (C2) y pistas lingüísticas en los artefactos asociados sugieren que está siendo operado por un género criminal de palabra turca como una botnet privada, dada la partida de un malware divulgado como el servicio (MAAS). Se han descubierto hasta 40 construcciones distintas desde marzo de 2025.
Las cadenas de ataque que distribuyen Klopatra emplean señuelos de ingeniería social para engañar a las víctimas en la descarga de aplicaciones de cuentagotas que se disfrazan de herramientas aparentemente inofensivas, como aplicaciones IPTV, permitiendo a los actores de amenaza evitar las defensas de seguridad y tomar el control por completo de sus dispositivos móviles.
Ofrecer la capacidad de aceptar a los canales de TV de incorporación calidad como señuelo es una opción deliberada, ya que las aplicaciones de transmisión pirateadas son populares entre los usuarios, que a menudo están dispuestos a instalar tales aplicaciones de fuentes no confiables, por lo tanto, infectando sin saberlo sus teléfonos en el proceso.
La aplicación de cuentagotas, una vez instalada, solicita al agraciado que le otorgue permisos para instalar paquetes de fuentes desconocidas. Al obtener este permiso, el cuentagotas extrae e instala la carga útil principal de Klopatra de un Json Packer incrustado adentro de ella. El troyano bancario no es diferente de otro malware de su tipo, buscando permiso para los servicios de accesibilidad de Android para realizar sus objetivos.
Si correctamente los servicios de accesibilidad es un ámbito razonable diseñado para ayudar a los usuarios con discapacidades a interactuar con el dispositivo Android, puede ser un arsenal potente en manos de los malos actores, que pueden pasarse de él para descubrir el contenido de la pantalla, registrar las teclas de registro y realizar acciones en nombre del agraciado para realizar transacciones fraudulentes de guisa autónoma.
«Lo que eleva a Klopatra por encima de la amenaza móvil típica es su bloque avanzadilla, construida para el sigilo y la resiliencia», dijo Clafy. «Los autores de malware tienen Virbox integrado, una aparejo de protección de código de porción comercial que rara vez se ve en el panorama de amenazas de Android. Esto, combinado con un cambio clave de funcionalidades centrales de Java a bibliotecas nativas, crea una capa defensiva formidable».
«Esta opción de diseño reduce drásticamente su visibilidad a los marcos de exploración tradicionales y las soluciones de seguridad, aplicando una extensa ofuscación de código, mecanismos anti-debuges y verificaciones de integridad de tiempo de ejecución para obstaculizar el exploración».
Encima de incorporar características para maximizar la esparcimiento, la resiliencia y la efectividad operativa, el malware proporciona a los operadores un control granular en tiempo vivo sobre el dispositivo infectado utilizando características de VNC que son capaces de servir una pantalla negra para ocultar la actividad maliciosa, como ejecutar transacciones bancarias sin sus conocimientos.
Klopatra todavía utiliza los servicios de accesibilidad para otorgarse permisos adicionales según sea necesario para evitar que el malware se termine, e intenta desinstalar cualquier aplicación antivirus codificada ya instaladas en el dispositivo. Encima, puede difundir pantallas de inicio de sesión de superposición falsas sobre aplicaciones financieras y de criptomonedas para desviar las credenciales. Estas superposiciones se entregan dinámicamente desde el servidor C2 cuando la víctima abre una de las aplicaciones específicas.
Se dice que el cámara humano se involucra activamente en intentos de fraude sobre lo que se describe como una «secuencia cuidadosamente orquestada» que implica demostrar primero si el dispositivo está cargando, la pantalla está apagada y actualmente no se usa activamente.
Si se cumplen estas condiciones, se emite un comando para disminuir el brillo de la pantalla a cero y mostrar una superposición negra, dando la impresión de la víctima de que el dispositivo está inactivo y acabado. En el fondo, sin bloqueo, los actores de amenaza usan el pin o patrón del dispositivo previamente robado para obtener comunicación no competente, difundir la aplicación bancaria específica y drenar los fondos a través de múltiples transferencias bancarias instantáneas.
Los hallazgos muestran que aunque Klopatra no intenta reinventar la rueda, plantea una seria amenaza para el sector financiero oportuno a un ensamblaje técnicamente innovador de características para ofuscar su verdadera naturaleza.
«Klopatra marca un paso significativo en la profesionalización del malware móvil, lo que demuestra una clara tendencia de los actores de amenaza que adoptan protecciones de porción comercial para maximizar la vida útil y la rentabilidad de sus operaciones», dijo la compañía.
«Los operadores muestran una clara preferencia por realizar sus ataques durante la confusión. Este momento es clave: la víctima probablemente está dormida y su dispositivo a menudo se deja cargar, asegurando que permanezca encendido y conectado. Esto proporciona la ventana perfecta para que el atacante opere sin ser detectado».
El crecimiento se produce un día luego de que Feeningfabric marcó un troyano de banca Android previamente indocumentado llamado DatzBro que puede realizar ataques de adquisición de dispositivos (DTO) y realizar transacciones fraudulentas al aprovecharse de los ancianos.
Renovar
Posteriormente de la publicación de la historia, un portavoz de Google le dijo a The Hacker News que no ha antitético ninguna aplicación que contenga el malware en Google Play, y que los usuarios de Android están protegidos por Google Play Protect.
«Según nuestra detección contemporáneo, no se encuentran aplicaciones que contengan este malware en Google Play», dijo la compañía. «Los usuarios de Android están protegidos automáticamente con versiones conocidas de este malware por Google Play Protect, que se realiza de forma predeterminada en dispositivos Android con los servicios de Google Play. Google Play Protect puede advertir a los usuarios o rodear aplicaciones que se sabe que exhiben un comportamiento pillo, incluso cuando esas aplicaciones provienen de fuentes fuera del esparcimiento».
(La historia se actualizó luego de la publicación para incluir una respuesta de Google).
