Alertan de Klopatra, el troyano bancario que se hace pasar por una IPTV roba dinero en España

España se encuentra en el punto de mira de Klopatra, un troyano bancario que se hace pasar por un servicio televisión por internet (IPTV) para tomar el control del teléfono móvil y vaciar la cuenta bancaria de sus víctimas.

Klopatra es un troyano de acceso remoto (RAT) para Android que el equipo Inteligencia de Amenazas de Cleafy identificó a finales de agosto. Para su distribución, se hace pasar por un servicio IPTV y red privada virtual (VPN).

En concreto, los cibercriminales lo promocionan como la 'app' Mobdro, un servicio de 'streaming' pirata que las autoridades cerraron en 2021, y que se descarga desde fuera de la tienda oficial de Google, Play Store, como explican en una publicación compartida en el blog oficial.

Cuando una persona instala esta aplicación en su móvil Android, esta solicita permisos para los servicios de accesibilidad, que dan acceso a todo el dispositivo. En él, logra camuflarse para robar información, a través de capturas o grabaciones de pantalla, del registro de lo que teclea el usuario o de la recopilación de la lista de 'apps'.

El objetivo es vaciar la cuenta bancaria de la víctima, y para ello el cibercriminal actúa durante la noche, cuando detecta que el móvil esta inactivo, con la pantalla apagada, momento en el que empieza a usar el móvil en remoto.

Esto se debe a que durante el día y con el móvil en uso, se expone a que la victima detecte movimiento extraño en el dispositivo, como una app que abre o un código que se escribe en una pantalla de inicio.

Así, por la noche, el cibercriminal introduce el PIN o el patrón que desbloquea el móvil, reduce el brillo de la pantalla para no llamar la atención y accede a la app del banco, en la que introduce las credenciales. Una vez dentro, realiza distintas transferencias hasta conseguir todo el dinero de la víctima.

La compañía de ciberseguridad también ha destacado su capacidad para pasar desapercibido, con el empleo de técnicas antisandboxing y bibliotecas nativas difíciles de leer y del uso de Virbox, que encripta y oculta el código malicioso para que no se pueda detectar durante los análisis de seguridad.

Según Cleafy, Klopatra se ha detectado en dos campañas activas dirigidas contra usuarios de España, principalmente, e Italia, dos países en los que destaca la popularidad de las competiciones deportivas y donde los servicios IPTV promocionan acceso gratuito a todos los partidos, que generalmente son de pago y están disponibles en distintas plataformas y canales.

En sus análisis, señalan han detectado dos 'botnets' principales con más de 3.000 dispositivos infectados, e identifican su origen en un grupo criminal de habla turca.