Klopatra バンキング型トロイの木馬
これまで知られていなかったAndroid向けバンキング型トロイの木馬「Klopatra」が、3,000台以上のデバイスに侵入し、スペインとイタリアで最も大きな被害を受けました。2025年8月下旬に情報セキュリティ研究者によって発見されたこの高度なマルウェアは、リモートアクセス型トロイの木馬(RAT)の機能と高度な回避技術を融合させ、金融情報を標的に不正取引を可能にします。
目次
高度な攻撃手法と遠隔操作
Klopatraは、Hidden Virtual Network Computing(VNC)を利用して感染デバイスをリモート制御します。動的なオーバーレイを使用して認証情報を盗み、不正なトランザクションを実行します。従来のモバイルマルウェアとは異なり、Klopatraはネイティブライブラリと商用グレードのVirboxコード保護スイートを統合しているため、検出と分析は極めて困難です。
マルウェアのコマンドアンドコントロール(C2)インフラストラクチャと言語的手がかりの分析から、トルコ語を話す犯罪グループがKlopatraをパブリックなマルウェア・アズ・ア・サービス(MaaS)として提供するのではなく、プライベートなボットネットとして運用していることが示唆されています。2025年3月以降、このトロイの木馬の40種類のビルドが確認されています。
被害者はどのように誘い込まれるのか
Klopatraはソーシャルエンジニアリングの手法で拡散し、IPTVストリーミングアプリケーションなどの無害なツールを装ったドロッパーアプリをユーザーを騙してインストールさせます。これらのアプリは、信頼できないソースから海賊版ソフトウェアをインストールしようとするユーザーの意欲を悪用します。
インストールされると、ドロッパーは不明なソースからのパッケージのインストール権限を要求します。その後、埋め込まれたJSONパッカーからKlopatraのメインペイロードを抽出します。さらに、このマルウェアはAndroidのアクセシビリティサービスを要求します。これは障がいのあるユーザーを支援するために設計されていますが、悪用されると以下のような被害を受ける可能性があります。
- 画面の内容を読む
- キーストロークを記録する
- アクションを自律的に実行する
これにより、攻撃者は被害者に知られずに金融詐欺を実行できるようになります。
ステルス性とレジリエンスのための高度なアーキテクチャ
Klopatra は、その先進的で耐久性に優れたデザインが際立っています。
- Virbox の統合により、マルウェアが分析されるのを防ぎます。
- ステルス性を高めるために、コア機能が Java からネイティブ ライブラリに移行されました。
- 広範囲にわたるコード難読化、アンチデバッグ、およびランタイム整合性チェックにより、検出が妨げられます。
このマルウェアは、プリインストールされているウイルス対策ソフトウェアも無効にし、アクセシビリティ サービスを使用して権限を昇格し、終了を阻止することもできます。
詐欺の実行と戦略的タイミング
Klopatra の攻撃者は、綿密に計画された攻撃シーケンスを実行します。
- デバイスが充電中かどうか、画面がオフになっているかどうか、デバイスがアイドル状態になっているかどうかを確認します。
- 画面の明るさをゼロに下げて、黒いオーバーレイを表示します。
- 盗まれた PIN またはパターンを使用して銀行アプリにアクセスします。
- 検知されずに複数の即時銀行振込を実行します。
この夜間戦略により、デバイスは電源が投入されたまま無人状態となり、被害者が眠っている間に攻撃者が活動する絶好の機会が与えられます。
金融セクターへの影響
Klopatraはモバイルマルウェアを再発明したわけではありませんが、脅威の高度化が著しく進んでいることを示しています。商用グレードの保護対策とステルス戦術を採用することで、攻撃者は収益性と活動期間の両方を最大化しています。
Googleは、Google Playで感染したアプリは見つかっていないことを確認しているが、このマルウェアがサードパーティや海賊版アプリの配布チャネルに依存していることは、モバイルユーザーに対する継続的なリスクを浮き彫りにしている。
