2025 年安全研究公司 Cleafy 披露了一款新型 Android 银行木马 Klopatra,其独特之处在于内置了 VNC 风格的远程控制能力,并能在受害设备上模拟触摸、拦截输入以及隐藏屏幕显示,从而帮助攻击者以"人工操作"方式劫取银行账户和其他敏感数据。该威胁已通过伪装成 IPTV 与 VPN 的应用传播,影响超过三千台设备,并在短时间内推出了大量版本,显示出活跃的开发与运营态势。 Klopatra 的传播载体通常是一个名为 Modpro IP TV + VPN 的"droppers",该应用并不在官方应用商店中发布,而是在第三方渠道传播,这类分发方式使得普通用户在安装时更难分辨真伪。恶意程序通过滥用 Android 的辅助功能权限(Accessibility service)来获取更高权限,实施内容包括屏幕监听、键盘输入拦截、剪贴板窃取以及模拟触摸和滑动等操作。这些能力让攻击者能够绕过许多自动化防护,直接在受害者设备上执行复杂的银行转账或激活双重认证等操作。 最令人警惕的技术是 Klopatra 的"黑屏 VNC"模式。
攻击者在远程控制设备时,会将受害者屏幕变为黑色或看似锁屏的状态,使用户看不到实际发生的操作,从而降低被察觉的可能性。VNC 模式支持长按、滑动和精确点击等交互动作,能够完成人工银行交易的全部步骤。为了进一步降低被发现的概率,Klopatra 会检查设备是否处于充电状态以及屏幕是否处于关闭状态,择机激活远控权限。同时,恶意程序会尝试识别并移除设备上已有的安全软件,通过内置的硬编码包名列表检测常见移动安全应用并执行针对性操作。 在反分析与反检测方面,Klopatra 采用了商业化保护工具(如 Virbox)和字符串加密器(NP Manager),并将恶意逻辑尽量转移到本地原生库中以减少 Java/Kotlin 层面的痕迹。这些手段让逆向与动态分析变得更困难,也延长了检测与响应周期。
研究者还发现 Klopatra 会收集本地已安装应用的信息,重点识别加密货币钱包应用,以便于窃取或监视与加密资产相关的活动。 从行为上看,Klopatra 结合了传统银行木马的功能(覆盖界面、钓鱼窃取凭证、剪贴板窃取)与远程人工操控的能力。相比之下,纯自动化的攻击在面对复杂的人机交互和多因素认证时更容易失败,而人工操控则能根据实时界面灵活应对,显著提高欺诈成功率。此外,持续快速的版本迭代表明攻击者在不断修复缺陷、改进功能以及规避安全检测,威胁具有持续性和适应性。 对个人用户而言,最重要的防护要点是减少被感染的概率并在发现异常时迅速响应。避免从不可信来源安装应用,尤其是声称提供 IPTV、VPN、破解或付费服务的第三方安装包。
安装应用前应仔细检查开发者信息和权限请求,若某个应用要求启用辅助功能权限但与其功能无关,应立即警惕并拒绝授权。系统与应用保持及时更新,并启用官方的应用验证服务和可信的移动安全软件,可降低被已知恶意样本感染的风险。 当怀疑设备被感染时,尽量通过另一台已知安全的设备修改重要账户密码并通知银行或服务提供商,必要时暂停关键账户操作。对受感染设备的初步处置包括断开网络连接、撤销可疑应用的权限(尤其是辅助功能和系统管理员权限)、卸载不明应用并进行全面安全扫描。若怀疑木马已深度植入或存在远控行为,应考虑将设备的数据备份到安全媒介后执行出厂重置或由专业人员进行清理和取证。 对企业与金融机构而言,Klopatra 这样的威胁强调了移动端欺诈防护与用户教育的重要性。
企业可以通过部署移动设备管理(MDM)策略来限制侧载行为、强制应用白名单和控制设备权限,同时使用风险检测与交易行为分析能力识别异常转账或登录行为。银行应加强对客户登录与转账环节的实时风控,如对敏感操作实施额外的多因素认证且对操作发起设备进行指纹识别,结合行为分析判断操作是否为真人在安全环境下发起。 此外,金融机构应保持与安全厂商及研究组织的协作,及时共享可疑样本与 IOC(检测线索),并在客户社区中发布可识别恶意分发渠道和伪装手法的警示。客户教育不可忽视,明确告知客户不要在不可信来源安装应用、如何辨别异常设备行为以及一旦账户出现异常该如何应对,是降低商业损失的关键环节。 从更广泛的威胁趋势来看,Klopatra 的几个特征反映了当下移动恶意软件演进的几个方向:更强的隐蔽性和反分析能力、更广泛的侧载分发网络以及将自动化攻击与人工操控相结合以突破认证与监控措施。攻击者利用商业化保护与本地化代码来规避检测,而黑屏远控则是面对用户可见性带来的直接回应。
这意味着未来移动安全防护需要在端侧与云侧形成更紧密的联动,结合行为检测、设备完整性校验和交易风险评估来实现更高的防御效果。 作为普通用户,可以采取以下原则性措施以降低风险:仅从官方应用商店或可信供应商获取应用,谨慎授予辅助功能和系统级权限,定期检查已安装应用及其权限,启用操作系统与关键应用的自动更新,以及在处理金融事务时优先使用受信任的设备与网络环境。若设备出现异常耗电、发热、未知后台流量或频繁弹窗等症状,应提高警惕并进行检查。 对于安全研究人员与产品开发者,Klopatra 提供了一个观察点:如何更有效地检测基于滥用辅助功能与远控黑屏的攻击,是未来移动防护策略需要重点攻克的难题。技术路径上可以探索辅助功能使用的异常行为建模、对关键应用界面交互的完整性校验以及在系统层面加强对屏幕绘制与显示控制的安全审计。同时,加强对第三方分发渠道的监测与取证能力,以便早期发现类似 droppers 的传播网络。
总之,Klopatra 的出现提醒我们移动设备已成为金融欺诈者日益青睐的目标。其利用 VNC 风格的黑屏远控能力和辅助功能滥用来实现高度隐蔽的人工操作,显著提高了传统银行木马的攻击成功率。面对此类威胁,个人、企业与金融机构都需要从预防、检测、响应和教育多方面协同应对,提高移动端的综合防护能力。保持警惕、减少不必要的权限授予、及时更新并在可疑情况下迅速采取保护措施,是降低被感染与资金损失风险的现实而有效的路径。 。
