Un troyano bancario para Android previamente indocumentado llamado Klopatra ha comprometido más de 3000 dispositivos, y la mayoría de las infecciones se han registrado en España e Italia.
La empresa italiana de prevención del fraude Cleafy, que descubrió el sofisticado troyano de acceso remoto (RAT) y malware a finales de agosto de 2025, afirmó que aprovecha la computación en red virtual oculta (VNC) para el control remoto de los dispositivos infectados y las superposiciones dinámicas para facilitar el robo de credenciales y, en última instancia, permitir transacciones fraudulentas.
«Klopatra representa una evolución significativa en la sofisticación del malware móvil», afirman los investigadores de seguridad Federico Valentini, Alessandro Strino, Simone Mattia y Michele Roviello dijo . «Combina el uso extensivo de bibliotecas nativas con la integración de Virbox, una suite de protección de código de nivel comercial, lo que hace que sea excepcionalmente difícil de detectar y analizar».
La evidencia recopilada de la infraestructura de comando y control (C2) del malware y las pistas lingüísticas de los artefactos asociados sugieren que está siendo operado por un grupo delictivo de habla turca como una red de bots privada, dada la ausencia de una oferta pública de malware como servicio (MaaS). Desde marzo de 2025, se han descubierto hasta 40 versiones distintas.
Las cadenas de ataque que distribuyen Klopatra emplean señuelos de ingeniería social para engañar a las víctimas y hacerles descargar aplicaciones que se hacen pasar por herramientas aparentemente inofensivas, como las aplicaciones de IPTV, que permiten a los actores de la amenaza eludir las defensas de seguridad y tomar el control total de sus dispositivos móviles.
Ofrecer la posibilidad de acceder a canales de televisión de alta calidad como atractivo es una elección deliberada, ya que las aplicaciones de streaming pirateadas son populares entre los usuarios, que a menudo están dispuestos a instalar dichas aplicaciones desde fuentes no confiables, infectando así sus teléfonos sin saberlo.
La aplicación Dropper, una vez instalada, solicita al usuario que le conceda permisos para instalar paquetes de fuentes desconocidas. Tras obtener este permiso, el dropper extrae e instala la carga útil principal de Klopatra desde un JSON Packer integrado en ella. Este troyano bancario no es diferente de otros programas maliciosos de este tipo, ya que solicita permiso para acceder a los servicios de accesibilidad de Android para cumplir sus objetivos.
Mientras servicios de accesibilidad es un marco legítimo diseñado para ayudar a los usuarios con discapacidades a interactuar con el dispositivo Android. Puede ser un arma poderosa en manos de personas malintencionadas, quienes pueden abusar de ella para leer el contenido de la pantalla, registrar las pulsaciones de teclas y realizar acciones en nombre del usuario para realizar transacciones fraudulentas de manera autónoma.
«Lo que sitúa a Klopatra por encima de la típica amenaza móvil es su arquitectura avanzada, diseñada para el sigilo y la resiliencia», afirma Cleafy. «Los creadores del malware han integrado Virbox, una herramienta de protección de código de calidad comercial que rara vez se ve en el panorama de amenazas de Android. Esto, combinado con un cambio estratégico de las funcionalidades principales de Java a las bibliotecas nativas, crea una formidable capa defensiva».
«Esta elección de diseño reduce drásticamente su visibilidad en relación con los marcos de análisis y las soluciones de seguridad tradicionales, al aplicar una amplia ofuscación del código, mecanismos antidepuración y comprobaciones de integridad del tiempo de ejecución para dificultar el análisis».
Además de incorporar funciones para maximizar la evasión, la resiliencia y la eficacia operativa, el malware proporciona a los operadores un control granular y en tiempo real sobre el dispositivo infectado mediante funciones de VNC que pueden mostrar una pantalla negra para ocultar la actividad maliciosa, como la ejecución de transacciones bancarias sin su conocimiento.
Klopatra también utiliza los servicios de accesibilidad para concederse los permisos adicionales necesarios para evitar que el malware desaparezca, e intenta desinstalar cualquier aplicación antivirus codificada que ya esté instalada en el dispositivo. Además, puede lanzar falsas pantallas de inicio de sesión superpuestas sobre aplicaciones financieras y de criptomonedas para robar credenciales. Estas superposiciones se entregan de forma dinámica desde el servidor C2 cuando la víctima abre una de las aplicaciones objetivo.
Se dice que el operador humano participa activamente en intentos de fraude en lo que se describe como una «secuencia cuidadosamente orquestada» que implica comprobar primero si el dispositivo se está cargando, si la pantalla está apagada y si actualmente no se está utilizando activamente.
Si se cumplen estas condiciones, se emite un comando para reducir el brillo de la pantalla a cero y mostrar una capa negra, lo que da a la víctima la impresión de que el dispositivo está inactivo y apagado. Sin embargo, en segundo plano, los atacantes utilizan el PIN o el patrón del dispositivo previamente robado para obtener acceso no autorizado, iniciar la aplicación bancaria objetivo y agotar los fondos mediante múltiples transferencias bancarias instantáneas.
Los hallazgos muestran que, si bien Klopatra no intenta reinventar la rueda, representa una grave amenaza para el sector financiero debido a un conjunto de funciones técnicamente avanzadas que ocultan su verdadera naturaleza.
«Klopatra marca un paso importante en la profesionalización del malware móvil, lo que demuestra una clara tendencia de los actores de amenazas a adoptar protecciones de nivel comercial para maximizar la vida útil y la rentabilidad de sus operaciones», afirma la empresa.
«Los operadores muestran una clara preferencia por llevar a cabo sus ataques durante la noche. Este momento es estratégico: es probable que la víctima esté dormida y, a menudo, su dispositivo se quede cargando para garantizar que permanezca encendido y conectado. Esto proporciona la ventana perfecta para que el atacante opere sin ser detectado».
El desarrollo se produce un día después de que ThreatFabric señalara un troyano bancario para Android previamente indocumentado llamado Datzbro que pueden llevar a cabo ataques de adquisición de dispositivos (DTO) y realizar transacciones fraudulentas aprovechándose de las personas mayores.