La mayoría de las infecciones de "Klopatra" se registraron en España e Italia
Un troyano bancario para Android no documentado previamente llamado Klopatra ha comprometido más de 3.000 dispositivos, y la mayoría de las infecciones se registraron en España e Italia.
La empresa italiana de prevención de fraude Cleafy, que descubrió el sofisticado malware y el troyano de acceso remoto (RAT) a fines de agosto de 2025, dijo que aprovecha la computación en red virtual (VNC) oculta para el control remoto de dispositivos infectados y superposiciones dinámicas para facilitar el robo de credenciales, lo que en última instancia permite transacciones fraudulentas.
"Klopatra representa una evolución significativa en la sofisticación del malware móvil", afirmaron los investigadores de seguridad Federico Valentini, Alessandro Strino, Simone Mattia y Michele Roviello. "Combina el uso extensivo de bibliotecas nativas con la integración de Virbox, una suite de protección de código de nivel comercial, lo que dificulta enormemente su detección y análisis".
La evidencia obtenida de la infraestructura de comando y control (C2) del malware y las pistas lingüísticas en los artefactos asociados sugieren que está siendo operado por un grupo criminal turcoparlante como una botnet privada, dada la ausencia de una oferta pública de malware como servicio (MaaS). Se han descubierto hasta 40 compilaciones distintas desde marzo de 2025.
Las cadenas de ataque que distribuyen Klopatra emplean señuelos de ingeniería social para engañar a las víctimas para que descarguen aplicaciones que se hacen pasar por herramientas aparentemente inofensivas, como aplicaciones de IPTV, lo que permite a los actores de la amenaza eludir las defensas de seguridad y tomar el control total de sus dispositivos móviles.
Ofrecer la posibilidad de acceder a canales de televisión de alta calidad como señuelo es una elección deliberada, ya que las aplicaciones de streaming pirateadas son populares entre los usuarios, que a menudo están dispuestos a instalar dichas aplicaciones desde fuentes no confiables, infectando así sin saberlo sus teléfonos en el proceso.
Una vez instalada, la aplicación dropper solicita al usuario permisos para instalar paquetes de fuentes desconocidas. Al obtenerlos, extrae e instala la carga útil principal de Klopatra desde un empaquetador JSON integrado. Este troyano bancario no se diferencia de otros programas maliciosos de su tipo: solicita permisos a los servicios de accesibilidad de Android para lograr sus objetivos.
Si bien los servicios de accesibilidad son un marco legítimo diseñado para ayudar a los usuarios con discapacidades a interactuar con el dispositivo Android, pueden ser un arma poderosa en manos de actores maliciosos, que pueden abusar de ellos para leer el contenido de la pantalla, registrar pulsaciones de teclas y realizar acciones en nombre del usuario para realizar transacciones fraudulentas de manera autónoma.
"Lo que distingue a Klopatra de las amenazas móviles típicas es su arquitectura avanzada, diseñada para ser sigilosa y resistente", afirmó Cleafy. "Los autores del malware han integrado Virbox, una herramienta de protección de código de calidad comercial poco común en el panorama de amenazas de Android. Esto, combinado con un cambio estratégico de las funcionalidades principales de Java a bibliotecas nativas, crea una formidable capa defensiva".
"Esta elección de diseño reduce drásticamente su visibilidad para los marcos de análisis y soluciones de seguridad tradicionales, aplicando una amplia ofuscación de código, mecanismos antidepuración y verificaciones de integridad en tiempo de ejecución para dificultar el análisis".
Además de incorporar características para maximizar la evasión, la resiliencia y la eficacia operativa, el malware proporciona a los operadores un control granular y en tiempo real sobre el dispositivo infectado utilizando funciones VNC que son capaces de mostrar una pantalla negra para ocultar la actividad maliciosa, como ejecutar transacciones bancarias sin su conocimiento.
Klopatra también utiliza los servicios de accesibilidad para otorgarse permisos adicionales según sea necesario e impedir la eliminación del malware, e intenta desinstalar cualquier aplicación antivirus predefinida ya instalada en el dispositivo. Además, puede crear falsas pantallas de inicio de sesión superpuestas sobre aplicaciones financieras y de criptomonedas para robar credenciales. Estas superposiciones se envían dinámicamente desde el servidor C2 cuando la víctima abre una de las aplicaciones objetivo.
Se dice que el operador humano participa activamente en intentos de fraude a través de lo que se describe como una "secuencia cuidadosamente orquestada" que implica primero verificar si el dispositivo se está cargando, si la pantalla está apagada y si no se está utilizando activamente en ese momento.
Si se cumplen estas condiciones, se emite un comando para reducir el brillo de la pantalla a cero y mostrar una superposición negra, dando a la víctima la impresión de que el dispositivo está inactivo y apagado. Sin embargo, en segundo plano, los cibercriminales utilizan el PIN o el patrón del dispositivo previamente robado para obtener acceso no autorizado, iniciar la aplicación bancaria objetivo y vaciar los fondos mediante múltiples transferencias bancarias instantáneas.
Los resultados muestran que, si bien Klopatra no intenta reinventar la rueda, plantea una seria amenaza para el sector financiero debido a un conjunto de características técnicamente avanzadas que buscan ocultar su verdadera naturaleza.
"Klopatra marca un paso significativo en la profesionalización del malware móvil, demostrando una clara tendencia de los actores de amenazas a adoptar protecciones de nivel comercial para maximizar la vida útil y la rentabilidad de sus operaciones", afirmó la compañía.
Los operadores muestran una clara preferencia por realizar sus ataques durante la noche. Este momento es estratégico: la víctima probablemente esté dormida y su dispositivo suele estar cargándose, lo que garantiza que permanezca encendido y conectado. Esto proporciona la ventana perfecta para que el atacante opere sin ser detectado.
El desarrollo llega un día después de que ThreatFabric detectara un troyano bancario para Android previamente no documentado llamado Datzbro que puede llevar a cabo ataques de toma de control de dispositivos (DTO) y realizar transacciones fraudulentas aprovechándose de personas mayores.
