🛡 概要
新たに発見されたAndroidバンキングおよびリモートアクセス型トロイの木馬(RAT)Klopatraは、IPTVおよびVPNアプリとして偽装され、ヨーロッパ全域で3000台以上のデバイスに感染しています。このトロイの木馬は、リアルタイムで画面を監視し、入力をキャプチャし、ジェスチャーナビゲーションをシミュレートする能力を持ち、隠れたVNCモードを特徴としています。Cleafyの研究者によると、Klopatraは既知のAndroidマルウェアファミリーとは無関係であり、トルコ語を話すサイバー犯罪グループによるプロジェクトである可能性があります。
🔍 技術詳細
Klopatraは、「Modpro IP TV + VPN」と呼ばれるドロッパーアプリを通じて被害者のデバイスに侵入します。このアプリは公式のGoogle Playプラットフォーム外で配布されており、ユーザーが知らず知らずのうちにインストールすることが多いです。Klopatraは、リバースエンジニアリングや分析を妨げる商業用コード保護ソリューションであるVirboxを統合し、Java/Kotlinのフットプリントを削減するためにネイティブライブラリを使用します。また、最近のビルドではNP Manager文字列暗号化も利用されています。さらに、マルウェアは複数のアンチデバッグメカニズムを備え、実行時の整合性チェックやエミュレーター検出機能を持ち、分析環境で実行されていないことを確認します。
⚠ 影響
Klopatraは、銀行の認証情報を盗むためのオーバーレイ攻撃を実行し、クリップボードの内容やキーストロークを外部に送信し、VNCを介してアカウントを枯渇させ、仮想通貨ウォレットアプリの情報を収集します。特に、VNCモードは、感染したデバイスがアイドル状態に見える中で、オペレーターが手動で銀行取引を実行できる機能を提供します。このモードは、デバイスが充電中または画面がオフのときに最適なタイミングでアクティブ化され、ユーザーに気づかれないように設計されています。Klopatraは、人気のあるAndroidアンチウイルス製品のパッケージ名のハードコーディングリストを含み、それらをアンインストールしようとします。
🛠 対策
Androidユーザーに対しては、あやしいウェブサイトからのAPKファイルのダウンロードを避けることが強く推奨されます。また、アクセシビリティサービスの権限リクエストを拒否し、デバイス上でPlay Protectを有効に保つことが重要です。さらに、定期的にデバイスのセキュリティ設定を確認し、不審なアプリケーションや権限に注意を払い、必要に応じて対策を講じることが推奨されます。Klopatraのような新たな脅威への対策を講じることで、重要な情報を保護し、サイバー攻撃から身を守ることができます。
