Dacă te întrebi ce înseamnă “troian bancar” în epoca telefoanelor mobile, uite un caz recent care care exemplifică pericolele ascunse.
În august 2025, echipa de cercetare Cleafy a descoperit o amenințare nouă: Klopatra, un Remote Access Trojan (RAT) pentru Android, care deja infectase mii de telefoane în sudul Europei.
Cum ajunge virusul pe telefon?
Atacatorii profită de faptul că mulți utilizatori caută aplicații pirat de televiziune prin IP, pe care nu le găsesc legal pe Google Play. Astfel, troianul se deghizează într-o aplicație aparent “inofensivă”.
Când instalezi aplicația, aceasta te îndeamnă să acorzi permisiuni care par relativ normale (de exemplu instalarea din surse necunoscute). Următorul pas este să îi permiți acces la Accessibility Services, care îi oferă control extins asupra telefonului.
Ce poate face, de fapt? Odată activ, Klopatra devine un dușman extrem de periculos:
- Controlează telefonul “ca și cum ar fi al lui” prin VNC ascuns (utilizatorul vede ecran întunecat în timp ce malware-ul operează).
- Detectează când banca sau aplicațiile financiare sunt folosite și afișează ferestre false (overlay) care par legitime, pentru a fura datele de autentificare.
- Execută tranzacții bancare, poate naviga singur prin aplicații, introduce PIN-uri / parole, fără să declanșeze suspiciuni.
- Evită detectarea: codul principal e scris în librării native (nu Java), iar malware-ul folosește Virbox, un sistem comercial de protecție a codului, pentru a complica analiza.
- Se protejează: dacă detectează aplicații de securitate sau antivirus, încearcă să le dezinstaleze. De asemenea își acordă permisiuni automat când e posibil.
Cât de răspândit e și cine îl operează?
Până acum, au fost detectate peste 3.000 de telefoane infectate în Spania și Italia, în două rețele coordonate.
În codul malware-ului și în infrastructura de comandă-control (C2), cercetătorii au găsit indicii clare că operatorii vorbesc turcă, variabile, comentarii sau câmpuri JSON scrise în turcă.
Există peste 40 de versiuni (build-uri) ale troianului în circulație, ceea ce arată că cei care l-au creat îl îmbunătățesc continuu.
Un aspect interesant: atacurile sunt adesea făcute noaptea, când telefonul e pus la încărcat și ecranul stins. Atunci operatorii pot “porni” dispozitivul, reduce luminozitatea la zero și opera fără să fi fost observați.
Ce poți face ca să te protejezi?
Pe scurt, câteva recomandări care pot împiedica sau limita un astfel de atac:
1. Evită instalarea aplicațiilor din surse dubioase. Dacă nu e pe Google Play sau nu e o sursă de încredere, nu o instala.
2. Nu acorda permisiuni sofisticate (Accessibility Services, acces complet). O aplicație de streaming nu are nevoie de control complet asupra telefonului.
3. Folosește soluții de securitate mobilă care monitorizează comportamentul anormal (nu doar bazat pe semnături).
4. Activează alertele bancare și limite de tranzacție, astfel încât dacă cineva încearcă să scoată mulți bani, să primești notificare.
5. Fă backup regulat și păstrează date importante în siguranță, nu doar pe telefon.
6. Actualizează sistemul de operare și aplicațiile, uneori patch-urile închid breșe pe care malware-ul le-ar putea folosi.
Sursă și detalii tehnice pot fi citite pe website-ul echipei Cleafy.
