Peneliti keamanan menemukan malware Android baru bernama Klopatra, sebuah banking trojan sekaligus remote access trojan (RAT) yang menyamar sebagai aplikasi IPTV dan VPN. Sejak kemunculannya pada Maret 2025, Klopatra telah menginfeksi lebih dari 3.000 perangkat di Eropa dan terus dikembangkan secara aktif.
Fitur Utama Klopatra
Klopatra bukan turunan dari keluarga malware Android yang pernah terdokumentasi sebelumnya, dan diduga dikembangkan oleh kelompok kriminal siber berbahasa Turki. Trojan ini memiliki kemampuan:
- Overlay attack untuk mencuri kredensial perbankan.
- Exfiltrasi clipboard & keylogger untuk menangkap teks, kata sandi, dan data sensitif.
- Mode VNC tersembunyi yang memungkinkan peretas melakukan transaksi manual di perangkat korban.
- Pencurian data dompet kripto dan informasi aplikasi finansial lainnya.
Infiltrasi dan Mekanisme Bertahan
Malware ini didistribusikan melalui aplikasi dropper bernama “Modpro IP TV + VPN” di luar Google Play Store. Begitu terinstal, Klopatra:
- Menyalahgunakan Accessibility Service untuk mendapatkan izin tingkat lanjut, memantau input, serta mensimulasikan sentuhan dan navigasi.
- Mengaktifkan mode layar hitam saat perangkat terkunci atau sedang diisi daya, sehingga operator dapat menjalankan aksi perbankan tanpa diketahui korban.
- Menggunakan proteksi Virbox dan enkripsi string melalui NP Manager untuk menghindari analisis, serta menambahkan fitur anti-debugging dan deteksi emulator.
- Memiliki daftar paket antivirus populer yang dikodekan secara permanen untuk kemudian mencoba menghapus instalasi aplikasi keamanan tersebut.
Infrastruktur dan Operator
Investigasi Cleafy menemukan beberapa server Command & Control (C2) yang terkait dengan dua kampanye berbeda. Meski operator menggunakan Cloudflare untuk menyamarkan jejak, kesalahan konfigurasi mengekspos alamat IP asli. Sejak Maret, tercatat 40 versi berbeda dari Klopatra, menunjukkan laju pengembangan yang sangat cepat.
Tips Perlindungan
Pengguna Android disarankan untuk:
- Menghindari instalasi APK dari situs yang tidak terpercaya.
- Menolak permintaan izin Accessibility yang mencurigakan.
- Selalu mengaktifkan Google Play Protect.
- Memperbarui perangkat secara rutin dan menjaga keamanan aplikasi finansial.
Dengan kemampuannya yang luas dan pengembangan aktif, Klopatra menjadi salah satu ancaman mobile banking paling serius di 2025.
Sumber: Cleafy Labs