はじめに:新たな脅威「Klopatra」
新たなAndroidバンキングおよびリモートアクセス型トロイの木馬(RAT)「Klopatra」が、IPTVおよびVPNアプリを装ってヨーロッパで3,000台以上のデバイスに感染していることが判明しました。このKlopatraは、リアルタイムでの画面監視、入力のキャプチャ、ジェスチャー操作のシミュレーション、そして隠蔽されたVirtual Network Computing (VNC) モードを備えた強力なトロイの木馬として説明されています。サイバーセキュリティ企業Cleafyの研究者によると、この新しいトロイの木馬は既存のAndroidマルウェアファミリーとは関連性がなく、トルコ語を話すサイバー犯罪グループのプロジェクトである可能性が高いとされています。
Klopatraの高度な機能
Klopatraは、オーバーレイ攻撃を通じて銀行の認証情報を窃取し、クリップボードの内容やキーストロークを外部に送信します。さらに、VNCを介してアカウントから資金を流出させたり、仮想通貨ウォレットアプリの情報を収集したりする能力を持っています。
巧妙な回避と隠蔽の手口
このマルウェアは、「Modpro IP TV + VPN」というドロッパーアプリを介して被害者のデバイスに侵入します。このドロッパーは、公式のGoogle Playプラットフォーム外で配布されています。Klopatraは、リバースエンジニアリングや分析を妨害する商用グレードのコードプロテクターであるVirboxを統合しており、Java/Kotlinのフットプリントを減らすためにネイティブライブラリを使用し、最近のビルドではNP Managerの文字列暗号化も採用しています。Cleafyの報告によると、このマルウェアは複数のアンチデバッグメカニズム、ランタイム整合性チェック、エミュレーター検出機能を備えており、分析環境での実行を防ぐように設計されています。
アクセシビリティサービスと隠蔽型VNCモードの悪用
Klopatraは、Androidのアクセシビリティサービスを悪用して追加の権限を獲得し、ユーザー入力をキャプチャしたり、タップやジェスチャーをシミュレートしたり、パスワードなどの機密情報を求めて被害者の画面を監視したりします。その主要な機能の一つは、ブラックスクリーンVNCモードです。これにより、デバイスが被害者にはアイドル状態(画面がロックされた状態)に見える間に、攻撃者が感染デバイス上で操作を実行できます。このモードは、定義された画面座標でのタップのシミュレーション、上下のスワイプ、長押しなど、手動での銀行取引に必要なすべてのリモート操作をサポートしています。マルウェアは、デバイスが充電中であるか、画面がオフであるかをチェックし、ユーザーに気づかれることなくこのモードをアクティブにする理想的な瞬間を判断します。さらに、Klopatraは検出を避けるために、人気のあるAndroidアンチウイルス製品に対応するハードコードされたパッケージ名のリストを含んでおり、それらをアンインストールしようと試みます。
脅威アクターの特定と活動状況
Cleafyの研究者は、言語的な手がかりや開発および収益化に関するメモに基づいて、Klopatraがトルコ系の脅威アクターによって運営されていると考えています。研究者たちは、2つのキャンペーンに関連する複数のコマンド&コントロール(C2)ポイントを特定し、これまでに3,000件のユニークな感染が確認されています。マルウェアの運営者はCloudflareを使用してデジタル痕跡を隠していますが、設定ミスによりオリジンIPアドレスが露呈し、C2サーバーが同じプロバイダーにリンクされていることが判明しました。Klopatraが2025年3月に初めて出現して以来、40種類の異なるビルドが確認されており、これはこの新しいAndroidトロイの木馬が活発に開発され、急速に進化していることを示しています。
ユーザーへの対策と注意喚起
- Google Play以外の不明なウェブサイトからAPKファイルをダウンロードすることは避けてください。
- アクセシビリティサービス権限の要求には注意し、不審なアプリには許可を与えないでください。
- デバイス上でPlay Protectを常に有効にしておきましょう。