Uma nova e perigosa ameaça para o sistema Android foi descoberta, capaz de roubar credenciais bancárias e de criptomoedas de forma alarmantemente discreta. Batizado de Klopatra, este trojan de acesso remoto (RAT) disfarça-se de uma aplicação de IPTV e VPN para infetar os dispositivos, tendo já comprometido mais de 3.000 telemóveis em toda a Europa.
O malware é distribuído fora da loja oficial Google Play, através de uma aplicação chamada “Modpro IP TV + VPN”. Uma vez instalado, o Klopatra consegue monitorizar o ecrã em tempo real, capturar tudo o que é digitado e até simular gestos de navegação para realizar ações sem o conhecimento do utilizador.
Um trojan discreto e evasivo
Os investigadores da empresa de cibersegurança Cleafy, que descobriram a ameaça, descrevem o Klopatra como um software extremamente evasivo. Para dificultar a sua análise e deteção, o trojan utiliza um protetor de código de nível comercial chamado Virbox, para além de cifrar partes do seu código e recorrer a bibliotecas nativas para reduzir a sua pegada no sistema.
Além disso, o Klopatra está equipado com múltiplos mecanismos para detetar se está a ser executado num ambiente de análise ou emulador, terminando a sua atividade se suspeitar que foi descoberto. Para obter os privilégios de que necessita, o malware abusa dos Serviços de Acessibilidade do Android, um método comum para este tipo de ameaça, conseguindo assim permissões para monitorizar o ecrã, capturar palavras-passe e simular toques. Para garantir que atua sem interrupções, o Klopatra tenta ainda desinstalar as aplicações de antivírus mais populares que encontrar no dispositivo.
O modo VNC de ecrã negro
A funcionalidade mais alarmante do Klopatra é o seu modo de Virtual Network Computing (VNC) oculto. Esta técnica permite que os atacantes controlem remotamente o telemóvel infetado enquanto o ecrã permanece desligado, fazendo com que o utilizador pense que o aparelho está bloqueado e inativo.
Neste modo, os cibercriminosos podem realizar manualmente transações bancárias, simulando toques em coordenadas específicas do ecrã, deslizando para cima e para baixo ou fazendo uma pressão longa para autorizar operações. Para ser ainda mais discreto, o malware verifica se o telemóvel está a carregar ou se o ecrã está desligado, esperando pelo momento ideal para agir sem que a vítima se aperceba.
Uma operação com sotaque turco
Segundo a análise da Cleafy, artefactos na linguagem e notas sobre o desenvolvimento do malware sugerem que a operação é conduzida por um grupo de cibercriminosos de língua turca. Embora os atacantes utilizem a Cloudflare para ocultar os seus servidores, uma falha de configuração expôs os endereços IP de origem, permitindo ligar a infraestrutura a um único fornecedor.
Desde a sua primeira aparição em março de 2025, já foram identificadas 40 versões distintas do Klopatra, o que demonstra um desenvolvimento ativo e uma rápida evolução desta nova ameaça à segurança.
Para se proteger, é fundamental que os utilizadores de Android evitem descarregar ficheiros APK de sites desconhecidos ou fontes não oficiais. Desconfie sempre de aplicações que peçam permissões de Acessibilidade e mantenha a proteção do Play Protect sempre ativa no seu dispositivo.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech
