VietNetwork.Vn

Một trojan ngân hàng Android chưa được ghi nhận trước đây có tên Klopatra đã xâm nhập vào hơn 3.000 thiết bị, phần lớn các trường hợp nhiễm bệnh được báo cáo ở Tây Ban Nha và Ý.

Công ty phòng chống gian lận Cleafy của Ý, đơn vị phát hiện ra phần mềm độc hại tinh vi và trojan truy cập từ xa (RAT) vào cuối tháng 8 năm 2025, cho biết họ tận dụng Hidden Virtual Network Computing (VNC) để điều khiển từ xa các thiết bị bị nhiễm và lớp phủ động để tạo điều kiện cho hành vi trộm cắp thông tin đăng nhập, cuối cùng là cho phép thực hiện các giao dịch gian lận.


"Klopatra đại diện cho một bước tiến đáng kể về mức độ tinh vi của phần mềm độc hại trên thiết bị di động", các nhà nghiên cứu bảo mật Federico Valentini, Alessandro Strino, Simone Mattia và Michele Roviello cho biết. "Nó kết hợp việc sử dụng rộng rãi các thư viện gốc với việc tích hợp Virbox, một bộ bảo vệ mã cấp thương mại, khiến việc phát hiện và phân tích nó trở nên cực kỳ khó khăn."

Bằng chứng thu thập được từ cơ sở hạ tầng chỉ huy và kiểm soát (C2) của phần mềm độc hại và các manh mối ngôn ngữ trong các hiện vật liên quan cho thấy nó đang được một nhóm tội phạm nói tiếng Thổ Nhĩ Kỳ vận hành như một botnet riêng tư, do không có dịch vụ phần mềm độc hại dưới dạng dịch vụ (MaaS) công khai. Có tới 40 bản dựng riêng biệt đã được phát hiện kể từ tháng 3 năm 2025.

Các chuỗi tấn công phân phối Klopatra sử dụng các chiêu trò kỹ thuật xã hội để lừa nạn nhân tải xuống các ứng dụng dropper ngụy trang thành các công cụ có vẻ vô hại, chẳng hạn như ứng dụng IPTV, cho phép kẻ tấn công vượt qua hàng phòng thủ an ninh và kiểm soát hoàn toàn thiết bị di động của họ.

Việc cung cấp khả năng truy cập các kênh truyền hình chất lượng cao như một mồi nhử là một lựa chọn có chủ đích, vì các ứng dụng phát trực tuyến lậu rất phổ biến với người dùng, những người thường sẵn sàng cài đặt các ứng dụng như vậy từ các nguồn không đáng tin cậy, do đó vô tình làm điện thoại của họ bị nhiễm virus.

Sau khi cài đặt, ứng dụng dropper sẽ yêu cầu người dùng cấp quyền cài đặt các gói từ nguồn không xác định. Khi được cấp quyền này, dropper sẽ trích xuất và cài đặt payload Klopatra chính từ JSON Packer được nhúng bên trong. Trojan ngân hàng này không khác gì các phần mềm độc hại khác cùng loại, luôn tìm kiếm sự cho phép từ các dịch vụ trợ năng của Android để thực hiện mục tiêu.

Mặc dù dịch vụ trợ năng là một khuôn khổ hợp pháp được thiết kế để hỗ trợ người dùng khuyết tật tương tác với thiết bị Android, nhưng nó có thể là vũ khí lợi hại trong tay kẻ xấu, những kẻ có thể lợi dụng nó để đọc nội dung trên màn hình, ghi lại các lần nhấn phím và thực hiện các hành động thay mặt người dùng để thực hiện các giao dịch gian lận một cách tự động.


"Điều khiến Klopatra vượt trội hơn các mối đe dọa di động thông thường là kiến trúc tiên tiến, được xây dựng để ẩn mình và phục hồi nhanh chóng", Cleafy nói. "Các tác giả phần mềm độc hại đã tích hợp Virbox, một công cụ bảo vệ mã nguồn cấp thương mại hiếm thấy trong bối cảnh các mối đe dọa Android. Điều này, kết hợp với sự chuyển đổi chiến lược các chức năng cốt lõi từ Java sang thư viện gốc, tạo ra một lớp phòng thủ đáng gờm."

"Lựa chọn thiết kế này làm giảm đáng kể khả năng hiển thị của nó đối với các khuôn khổ phân tích và giải pháp bảo mật truyền thống, áp dụng cơ chế che giấu mã, cơ chế chống gỡ lỗi và kiểm tra tính toàn vẹn thời gian chạy để cản trở việc phân tích."

Bên cạnh việc tích hợp các tính năng để tối đa hóa khả năng trốn tránh, khả năng phục hồi và hiệu quả hoạt động, phần mềm độc hại còn cung cấp cho người điều hành khả năng kiểm soát chi tiết, thời gian thực đối với thiết bị bị nhiễm bằng các tính năng VNC có khả năng tạo màn hình đen để che giấu hoạt động độc hại, chẳng hạn như thực hiện các giao dịch ngân hàng mà họ không biết.


Klopatra cũng sử dụng các dịch vụ trợ năng để tự cấp cho mình các quyền bổ sung cần thiết nhằm ngăn chặn phần mềm độc hại bị chấm dứt, đồng thời cố gắng gỡ cài đặt bất kỳ ứng dụng diệt vi-rút được mã hóa cứng nào đã được cài đặt trên thiết bị. Hơn nữa, nó có thể khởi chạy màn hình đăng nhập giả mạo trên các ứng dụng tài chính và tiền điện tử để đánh cắp thông tin đăng nhập. Các lớp phủ này được phân phối động từ máy chủ C2 khi nạn nhân mở một trong các ứng dụng bị nhắm mục tiêu.

Người ta nói rằng người điều hành chủ động tham gia vào các nỗ lực gian lận thông qua cái được mô tả là "chuỗi hành động được dàn dựng cẩn thận", bao gồm việc đầu tiên là kiểm tra xem thiết bị có đang sạc không, màn hình đã tắt chưa và hiện tại không được sử dụng.

Nếu đáp ứng các điều kiện này, một lệnh sẽ được đưa ra để giảm độ sáng màn hình xuống 0 và hiển thị lớp phủ màu đen, khiến nạn nhân tưởng rằng thiết bị đang tắt và không hoạt động. Tuy nhiên, ở chế độ nền, kẻ tấn công sử dụng mã PIN hoặc hình vẽ đã đánh cắp trước đó của thiết bị để truy cập trái phép, khởi chạy ứng dụng ngân hàng mục tiêu và rút tiền thông qua nhiều lần chuyển khoản ngân hàng tức thời.

Những phát hiện cho thấy mặc dù Klopatra không cố gắng phát minh lại bánh xe, nhưng nó gây ra mối đe dọa nghiêm trọng đối với lĩnh vực tài chính do tập hợp các tính năng tiên tiến về mặt kỹ thuật nhằm che giấu bản chất thực sự của nó.

Công ty cho biết: "Klopatra đánh dấu bước tiến đáng kể trong quá trình chuyên nghiệp hóa phần mềm độc hại di động, cho thấy xu hướng rõ ràng rằng các tác nhân đe dọa đang áp dụng các biện pháp bảo vệ cấp thương mại để tối đa hóa tuổi thọ và lợi nhuận cho hoạt động của chúng".

"Những kẻ tấn công rõ ràng ưa chuộng việc thực hiện các cuộc tấn công vào ban đêm. Thời điểm này mang tính chiến lược: nạn nhân thường đang ngủ, và thiết bị của họ thường được sạc, đảm bảo nó luôn bật và được kết nối. Đây là khoảng thời gian hoàn hảo để kẻ tấn công hoạt động mà không bị phát hiện."

Sự phát triển này diễn ra một ngày sau khi ThreatFabric phát hiện ra một trojan ngân hàng Android chưa được ghi nhận trước đó có tên là Datzbro có thể thực hiện các cuộc tấn công chiếm quyền điều khiển thiết bị (DTO) và thực hiện các giao dịch gian lận bằng cách nhắm vào người cao tuổi.