Recurso de mujer con traje de inspiración egipcia- UNSPLASH / MARKUS KAMMERMANN
MADRID, 6 Oct. (CIBERPRO) –
Klopatra, un troyano bancario, está acechando a España, haciéndose pasar por un servicio de televisión por internet (IPTV) para apoderarse del teléfono móvil de sus víctimas y vaciar sus cuentas bancarias.
Este troyano de acceso remoto (RAT) para Android fue detectado por el equipo de Inteligencia de Amenazas de Cleafy a finales de agosto. Se disfraza como un servicio de IPTV y una red privada virtual (VPN) para lograr su distribución.
Específicamente, los delincuentes lo promocionan como la aplicación Mobdro, un servicio de ‘streaming’ ilegal que fue cerrado por las autoridades en 2021, y se puede descargar fuera de la tienda oficial de Google, Play Store, según una publicación en el blog oficial.
Al instalar esta aplicación en un dispositivo Android, se requieren permisos para los servicios de accesibilidad, lo que permite acceso total al dispositivo. Así, el troyano se oculta para robar información mediante capturas de pantalla, grabaciones y el registro de teclas o aplicaciones.
El fin último es vaciar la cuenta bancaria de la víctima, y los cibercriminales actúan principalmente por la noche, cuando el móvil está inactivo y la pantalla apagada, lo que les permite controlar el dispositivo de forma remota.
Esto se debe a que durante el día, con el usuario activo, es más fácil que la víctima detecte movimientos inusuales, como aplicaciones que se abren solas o códigos que aparecen en la pantalla de inicio.
De este modo, por la noche, el atacante introduce el PIN o patrón de desbloqueo, reduce el brillo de la pantalla para pasar desapercibido y accede a la aplicación bancaria, introduciendo las credenciales de la víctima. Luego realiza diversas transferencias hasta vaciar la cuenta.
La empresa de ciberseguridad ha resaltado su capacidad para permanecer oculto, utilizando técnicas de antisandboxing y bibliotecas nativas complejas, junto con Virbox, que cifra y oculta el código malicioso, dificultando su detección en análisis de seguridad.
Cleafy indica que Klopatra ha sido identificado en dos campañas activas dirigidas principalmente a usuarios en España e Italia, países donde las competiciones deportivas son muy populares y donde los servicios IPTV ofrecen acceso gratuito a eventos normalmente de pago.
En sus investigaciones, han encontrado dos ‘botnets’ principales con más de 3.000 dispositivos infectados, atribuyéndolos a un grupo criminal de habla turca.
