Um novo trojan bancário para Android, chamado Klopatra, já infectou mais de 3.000 dispositivos, com a maioria das pessoas afetadas em países como Espanha e Itália. A empresa italiana de prevenção a fraudes Cleafy identificou esse malware complexo e de acesso remoto no final de agosto de 2025.
O Klopatra utiliza tecnologia de controle remoto chamada Hidden Virtual Network Computing (VNC) para controlar dispositivos infectados. Além disso, ele cria sobreposições dinâmicas que ajudam a roubar credenciais, permitindo, assim, que transações fraudulentas sejam realizadas. Os especialistas da Cleafy destacam que esse trojan representa um avanço significativo na sofisticação dos malwares para dispositivos móveis, combinando bibliotecas nativas com uma ferramenta comercial de proteção de código, o Virbox, que torna a detecção e análise muito mais difíceis.
Investigando a infraestrutura do Klopatra, os pesquisadores descobriram que ele é operado por um grupo criminoso de fala turca, que mantém o malware como uma botnet privada, sem oferecê-lo publicamente como um serviço. Desde março de 2025, foram identificadas cerca de 40 versões diferentes desse software malicioso.
Os ataques que distribuem o Klopatra utilizam táticas de engenharia social para enganar as vítimas e fazê-las baixar aplicativos disfarçados de ferramentas úteis, como programas de IPTV. Essas iscas são especialmente atrativas, já que aplicativos de streaming pirateados são populares e muitos usuários instalam esses programas de fontes não confiáveis, contaminando então seus celulares.
Quando o aplicativo “dropper” é instalado, ele solicita permissões para instalar pacotes de fontes desconhecidas. Uma vez obtidas essas permissões, ele extrai e instala o componente principal do Klopatra, que busca também acesso aos serviços de acessibilidade do Android para atingir seus objetivos. Esses serviços, que foram criados para ajudar pessoas com deficiência a interagir com os dispositivos, podem ser utilizados por criminosos para ler o que aparece na tela, registrar teclas digitadas e executar ações no dispositivo da vítima, fazendo transações sem que ela perceba.
A Cleafy observa que a estrutura do Klopatra é superior à de outras ameaças móveis, pois foi projetada para ser discreta e resistente. Os autores do malware usam o Virbox e mudaram funções essenciais de Java para bibliotecas nativas, criando assim uma camada de defesa difícil de ser transposta. Esse design não só dificulta a detecção por análises tradicionais, mas também aplica técnicas de ofuscação de código e verificações de integridade em tempo de execução que complicam a análise do malware.
O Klopatra permite que os operadores tenham controle em tempo real sobre os dispositivos afetados, utilizando funcionalidades do VNC que podem exibir uma tela preta para ocultar atividades maliciosas, como transações bancárias. O malware garante que continue em funcionamento ao solicitar permissões adicionais através dos serviços de acessibilidade e tenta desinstalar aplicativos antivírus que possam estar presentes.
Além disso, ele pode gerar telas de login falsas sobre aplicativos financeiros e de criptomoedas, capturando assim as credenciais dos usuários. As sobreposições são geradas de forma dinâmica a partir do servidor de controle quando a vítima abre um dos aplicativos visados.
Os ataques são cuidadosamente planejados. Os criminosos verificam se o dispositivo está carregando, se a tela está apagada e se não está em uso antes de dar um comando para escurecer ainda mais a tela e apresentar uma sobreposição negra. Isso faz com que a vítima acredite que o celular está desligado, enquanto, em segundo plano, os criminosos podem acessar o aplicativo bancário utilizando o PIN ou padrão de desbloqueio que já foi roubado, transferindo valores sem que a vítima perceba.
Embora o Klopatra não inova radicalmente em suas abordagens, representa uma ameaça significativa ao setor financeiro, por integrar uma série de características técnicas que ocultam sua verdadeira natureza. A Cleafy afirma que o Klopatra representa um avanço na profissionalização dos malwares móveis, indicando uma clara tendência por parte dos criminosos de adotar proteções sofisticadas para aumentar a eficácia e a durabilidade de suas operações.
Os operadores do Klopatra preferem realizar os ataques durante a noite. Esse horário é estratégico, pois as vítimas costumam estar dormindo e seus dispositivos estão geralmente carregando, o que garante que permaneçam ativos e conectados. Esse fator proporciona uma janela ideal para que os atacantes operem sem serem detectados.
Recentemente, houve um alerta sobre outro trojan bancário para Android, chamado Datzbro, que realiza ataques de takeover a dispositivos e pode cometer fraudes focando em pessoas idosas.
Após esses episódios, um representante da Google declarou que nenhum aplicativo contendo o Klopatra foi encontrado na loja Google Play e que a proteção Google Play Protect está ativada para os usuários de Android, prevenindo automaticamente o download de versões conhecidas desse malware.
