Mientras estas durmiendo, alguien maneja tu teléfono. Así funciona Klopatra, un nuevo troyano bancario para Android que ha logrado infectar más de 3.000 dispositivos en Italia y España. A diferencia de otros programas maliciosos, Klopatra no solo roba contraseñas: simula que el usuario sigue dormido mientras vacía cuentas, utilizando credenciales previamente robadas y manipulando apps bancarias como si estuviera frente al teléfono.

La historia comienza con un cebo que muchos usuarios conocen: la app de streaming pirata Mobdro. Aunque fue cerrada oficialmente en 2021, su popularidad sigue viva entre los aficionados. Atacantes turcos han escondido Klopatra bajo la apariencia de Mobdro, aprovechando la fama y el atractivo de la app. Al instalarla, el malware solicita permisos de accesibilidad, que le otorgan control casi total sobre el dispositivo.

Klopatra se mueve en las sombras. Una vez activado, verifica que la pantalla esté apagada y que el dispositivo esté cargando. Solo entonces entra en acción: desbloquea el teléfono con el PIN robado, abre la app bancaria, introduce las credenciales y transfiere dinero a cuentas controladas por los atacantes. Todo ocurre con la pantalla aparentemente apagada, de modo que el usuario no sospecha hasta que descubre la desaparición de sus fondos.

El malware combina además técnicas avanzadas de ocultación y protección de su código, como anti-sandboxing y ofuscación mediante herramientas como Virbox, para dificultar su detección. Incluso si la víctima ya tiene instalada la app legítima, Klopatra mantiene la apariencia de normalidad, ejecutando la app oficial mientras roba datos en segundo plano.

Expertos advierten que este tipo de troyanos siguen evolucionando: no se limitan a robar contraseñas, sino que integran fraudes en tiempo real, superposiciones visuales y control remoto en un solo ataque. Las organizaciones y usuarios necesitan herramientas móviles especializadas que se adapten tan rápido como los atacantes cambian sus métodos.

Fuente: DarkReading