Vào cuối tháng 8 năm 2025, đội ngũ Threat Intelligence của Cleafy đã phát hiện **Klopatra**, một loại trojan ngân hàng Android và công cụ truy cập từ xa (RAT) mới, có độ tinh vi cao. **Mã độc Klopatra** này cho phép kẻ tấn công giành toàn quyền kiểm soát thiết bị bị xâm nhập, tạo điều kiện cho các hoạt động gian lận tài chính quy mô lớn. Các chiến dịch đang hoạt động tại Tây Ban Nha và Ý đã lây nhiễm hơn 3.000 thiết bị, nhắm mục tiêu vào người dùng của các tổ chức tài chính lớn và rút tiền từ tài khoản khi nạn nhân đang ngủ, đặt ra một mối đe dọa mạng nghiêm trọng.

Mã độc Klopatra: Trojan Ngân hàng Android Tinh vi

Kiến trúc Độc đáo và Khả năng Che giấu

**Klopatra** nổi bật nhờ tích hợp **Virbox**, một công cụ bảo vệ mã nguồn thương mại hiếm khi xuất hiện trong mã độc di động. Việc tích hợp này, kết hợp với sự dịch chuyển chiến lược logic cốt lõi từ **Java** sang các thư viện **C/C++** gốc, giảm đáng kể khả năng hiển thị đối với các công cụ phân tích tĩnh và bộ dò lỗi thời gian chạy.

**Virbox** bao bọc payload độc hại trong nhiều lớp che giấu, kiểm tra chống gỡ lỗi, phát hiện trình giả lập và xác thực tính toàn vẹn. Điều này buộc các nhà nghiên cứu phải dành đáng kể thời gian và tài nguyên để phân tích ngược các chức năng của nó.

Những lựa chọn thiết kế này phản ánh sự chuyên nghiệp hóa của các mối đe dọa di động. Các đối tượng tội phạm đang đầu tư vào các biện pháp bảo vệ nâng cao để tối đa hóa tuổi thọ và lợi nhuận của mã độc.

Nguồn Gốc và Nhận Diện Tác Nhân

Các manh mối ngôn ngữ trong mã nguồn – như tên hàm bằng tiếng Thổ Nhĩ Kỳ – và siêu dữ liệu từ giao diện Command and Control (C2) chỉ ra rõ ràng một nhóm nói tiếng Thổ Nhĩ Kỳ đang quản lý việc phát triển, triển khai và kiếm tiền từ **mã độc Klopatra**.

Cụ thể, tên hàm như ArkaUcKomutIsleyicisi (“Backend Command Handler”) và tên trường C2 như etiket, favori_durumu, bot_notu đều bằng tiếng Thổ Nhĩ Kỳ. Các ghi chú của kẻ vận hành, chứa các cụm từ tiếng Thổ Nhĩ Kỳ thông tục ghi lại các lần thử giao dịch và mã PIN, cung cấp bằng chứng trực tiếp về một nhóm nói tiếng Thổ Nhĩ Kỳ tích hợp theo chiều dọc, xử lý mọi giai đoạn từ phát triển đến thực hiện gian lận.

Cơ chế Lây nhiễm và Xâm nhập Hệ thống

Phân phối Mã độc qua Dropper

Việc lây nhiễm của **Klopatra** bắt đầu bằng một dropper trông có vẻ hợp pháp, mạo danh ứng dụng “Mobdro Pro IP TV + VPN”. Ứng dụng phát trực tuyến lậu này lừa người dùng cho phép quyền “Install Unknown Apps”. Sử dụng “JSON Packer” tùy chỉnh, dropper ẩn payload chính và cài đặt nó một cách âm thầm sau khi được cấp quyền.

Lạm dụng Dịch vụ Hỗ trợ tiếp cận (Accessibility Services)

Sau khi cài đặt, trojan ngay lập tức yêu cầu quyền **Accessibility Services**. Khung làm việc mạnh mẽ này, ban đầu được thiết kế để hỗ trợ người dùng khuyết tật, cho phép **Klopatra** thực hiện các hành động sau:

• Thu thập thông tin nhạy cảm về thiết bị.
• Mô phỏng các thao tác chạm và cử chỉ của người dùng.
• Khởi chạy các ứng dụng được cài đặt.
• Bắt giữ dữ liệu từ các trường nhập liệu (ví dụ: thông tin đăng nhập).
• Cấp thêm quyền cho chính nó mà không cần tương tác của người dùng.

Chức năng Khai thác và Điều khiển Từ xa

Máy chủ VNC Tích hợp

Trung tâm của **Klopatra** là một máy chủ VNC tích hợp, cung cấp hai chế độ hoạt động chính:

• Kiểm soát Trực tiếp (Direct Control): Cho phép kẻ tấn công tương tác trực tiếp với thiết bị như thể đang cầm nó trên tay.
• Kiểm soát Lớp phủ (Overlay Control): Hiển thị một màn hình màu đen cho nạn nhân trong khi kẻ tấn công thao tác thiết bị trong nền.

Thủ thuật “màn hình đen” này được khởi tạo thông qua lệnh action_blackscreen. Sau đó, kẻ vận hành có thể mở khóa thiết bị bằng mã PIN hoặc mẫu đã đánh cắp, khởi chạy các ứng dụng ngân hàng và thực hiện các giao dịch gian lận mà không cảnh báo người dùng. Chức năng này của **Klopatra** làm tăng rủi ro bảo mật cho người dùng.

Module Overlay Tấn công Ngân hàng

Bổ sung cho khả năng kiểm soát trực tiếp là một module overlay mạnh mẽ. Khi người dùng mở các ứng dụng ngân hàng hoặc tiền điện tử mục tiêu, **Klopatra** sẽ lấy HTML tùy chỉnh từ máy chủ C2 của nó và chèn một bản sao hoàn hảo của màn hình đăng nhập.

Thông tin đăng nhập được nhập bởi những nạn nhân không nghi ngờ sẽ bị đánh cắp ngay lập tức. Đồng thời, trojan thu thập siêu dữ liệu thiết bị – mẫu máy, mức pin, các ứng dụng đã cài đặt – và đóng gói tất cả dữ liệu thành các đối tượng JSON được mã hóa Base64 để truyền đến C2.

Nhận diện Botnet và Chỉ số Thỏa hiệp (IOCs)

Các Botnet Chính

Phân tích của Cleafy đã xác định hai botnet chính đang hoạt động, sử dụng các tên miền khác nhau:

• Botnet 1:
  • Tên miền: klopatra-client-api.com
  • Địa chỉ IP: 172.67.148.243, 104.21.67.133
• Botnet 2:
  • Tên miền: panel-api-new.com
  • Địa chỉ IP: 104.21.75.133, 172.67.149.200

Một tên miền thứ tư, guncel-tv-player-lnat.com, dường như đóng vai trò là môi trường thử nghiệm cho các tính năng mới, với chỉ chín bot được đăng ký trên nhiều quốc gia.

Xác nhận Nguồn Gốc và Dấu hiệu Điều hành

Nguồn gốc Thổ Nhĩ Kỳ được xác nhận bởi các tên hàm và trường C2 đã nêu trên. Phân tích các phản hồi JSON từ máy chủ C2 cũng cho thấy nhiều tên trường là các từ tiếng Thổ Nhĩ Kỳ.

Đây là bằng chứng rõ ràng về một nhóm nói tiếng Thổ Nhĩ Kỳ tích hợp theo chiều dọc, xử lý mọi giai đoạn từ phát triển đến thực hiện gian lận. Thông tin chi tiết hơn về **mã độc Klopatra** được Cleafy Labs công bố tại đây: Cleafy Labs: Klopatra – Exposing a New Android Banking Trojan Operation with Roots in Turkey

Chiến lược Phòng ngừa và Đối phó

Sự xuất hiện của **Klopatra** đánh dấu một bước ngoặt trong mã độc di động, mang đến các biện pháp bảo vệ cấp độ máy tính để bàn cho Android. Các tổ chức tài chính và đội ngũ chống gian lận cần áp dụng các giải pháp vượt xa khả năng phát hiện dựa trên chữ ký, tập trung vào giám sát hành vi ở cấp độ thiết bị và đối chiếu bất thường giao dịch theo thời gian thực.

Chia sẻ thông tin tình báo về các mối đe dọa liên tục và chủ động săn lùng các mẫu Android được bảo vệ bằng **Virbox** sẽ rất quan trọng để giảm thiểu mối đe dọa mới nổi này. Để đảm bảo an ninh mạng, cộng đồng bảo mật cần phản ứng bằng các kỹ thuật phân tích được cải thiện, tăng cường sandbox và hợp tác đa ngành để đi trước các RAT di động tinh vi này.