Klopatra-Banking-Trojaner: Geheime Fernsteuerung überlistet Analysetools

Der hochentwickelte Banking-Trojaner Klopatra infizierte bereits über 3.000 Android-Geräte in Europa und nutzt kommerzielle Verschleierungstechniken mit versteckten VNC-Fernzugriffsfunktionen.

Ein hochentwickelter Banking-Trojaner namens „Klopatra” nutzt kommerzielle Verschleierungstechnik und versteckte Fernzugriffsfunktionen, um Sicherheitssysteme zu umgehen. Das Schadprogramm gewährt Angreifern komplette Kontrolle über infizierte Android-Geräte – oft ohne dass Nutzer etwas bemerken.

Die von der Cybersicherheitsfirma Cleafy Ende August entdeckte Malware hat bereits über 3.000 Geräte infiziert, hauptsächlich in Europa. Sicherheitsexperten stufen Klopatra als bedeutende Eskalation bei mobilen Bedrohungen ein, da herkömmliche Analysetools versagen.

Die vermutlich von einer türkischsprachigen Cybercrime-Gruppe entwickelte Malware verbreitet sich über eine gefälschte App namens „Mobdro Pro IP TV + VPN”. Diese wird außerhalb des Google Play Stores als legitimer IPTV- und VPN-Service getarnt. Nach der Installation stiehlt das Programm Banking-Daten, fängt persönliche Informationen ab und plündert Finanzkonten.

Kommerzielle Schutztools gegen Sicherheitsforscher

Klopatra hebt sich durch den Einsatz professioneller Software-Schutzlösungen von anderen Trojanern ab. Die Malware integriert Virbox, einen kommerziellen Code-Protektor, der gezielt Reverse-Engineering und Analyse blockiert. Zusätzlich verlagert sie ihre Kernlogik in native C/C++-Bibliotheken – weg aus der leichter analysierbaren Java-Umgebung von Android.

Diese ausgeklügelte Verschachtelung macht automatisierte Analysen extrem schwierig. Klopatra enthält Anti-Analyse-Routinen wie Anti-Debugging-Checks, Emulator-Erkennung und Laufzeit-Integritätsprüfungen. Das Schadprogramm führt sich nur auf echten Nutzergeräten aus, nicht in den Sandboxes der Sicherheitsforscher.

Unsichtbare Geräteübernahme per VNC

Besonders alarmierend ist Kleopatras Fähigkeit, versteckte VNC-Sitzungen zu erstellen. Nach dem Erschleichen von Android-Barrierefreiheitsdienst-Berechtigungen kann die Malware nicht nur Tastatureingaben protokollieren und Zugangsdaten durch Overlay-Angriffe stehlen – sie gewährt Angreifern auch vollständige Fernsteuerung.

Das System arbeitet mit zwei VNC-Modi: einem Standard-Modus zur Bildschirmbeobachtung und einem „Black Screen”-Modus. In diesem versteckten Modus erscheint das Display für das Opfer ausgeschaltet oder gesperrt, während der Angreifer live zusieht und vollständige Kontrolle behält. Er kann Apps navigieren, Berührungen simulieren, Text eingeben und betrügerische Transaktionen durchführen.

Die Malware startet diese versteckten Sitzungen strategisch geschickt – etwa während des Ladevorgangs oder bei ausgeschaltetem Bildschirm, um die Entdeckungswahrscheinlichkeit zu minimieren.

Neue Dimension mobiler Bedrohungen

Klopatra markiert einen Wendepunkt in der Entwicklung mobiler Schadsoftware. Die Kombination aus kommerziellen Packern wie Virbox und direkter Fernsteuerung via VNC übertrifft einfache Overlay-Angriffe deutlich. Während diese gefälschten Login-Fenster über echten Banking-Apps weiterhin zum Kern der Klopatra-Strategie gehören, ermöglicht VNC den Umgang mit komplexeren Sicherheitsmaßnahmen wie Zwei-Faktor-Authentifizierung oder Transaktionsbestätigungen.

Diese Entwicklung resultiert aus der zunehmenden Schwierigkeit, moderne Banking-Sicherheit mit automatisierten Skripten allein zu überwinden. Die Angreifer stehlen nicht mehr nur Zugangsdaten – sie halten das Gerät praktisch in ihren Händen.
Anzeige: Übrigens: Wer sich vor Android-Banking-Trojanern wie „Klopatra“ schützen möchte, sollte 5 einfache, oft übersehene Maßnahmen kennen. Ein kostenloser Ratgeber zeigt Schritt für Schritt, wie Sie Ihr Smartphone ohne teure Zusatz-Apps absichern – inklusive geprüfter Einstellungen für WhatsApp, Online-Banking, PayPal und Shopping. Sichern Sie jetzt Ihre Daten mit Checklisten und klaren Anleitungen. Kostenloses Android‑Sicherheitspaket herunterladen

Mehr als 40 Versionen seit März

Sicherheitsexperten erwarten eine Ausbreitung dieser fortschrittlichen Verschleierungs- und Fernsteuerungstaktiken. Der Erfolg von Klopatra, das seit März 2024 über 40 verschiedene Versionen erhalten hat, zeigt das Engagement der Entwickler für kontinuierliche Verbesserungen. Während Finanzinstitute ihre Abwehr verstärken, werden Angreifer weiter innovieren und ausgefeiltere Verschleierungs- und interaktive Betrugstechniken integrieren.

Schutzmaßnahmen gegen Klopatra:

• Nur offizielle Stores nutzen: Apps ausschließlich über Google Play Store installieren
• Berechtigungen prüfen: Äußerste Vorsicht bei Apps, die weitreichende Zugriffsrechte fordern, besonders auf Barrierefreiheitsdienste
• Mobile Sicherheitssoftware: Seriöse Antivirus-Lösungen können schädliche Dateien vor der Installation erkennen
• Wachsam bleiben: Misstrauen gegenüber unverlangt zugesendeten Links, auch von scheinbar vertrauenswürdigen Absendern

Weitere Artikel zum Thema

• 15:51 Uhr - Herodotus-Trojaner täuscht Sicherheitssysteme
• 14:25 Uhr - Android-Banking-Trojaner: Drei neue Bedrohungen
• 12:29 Uhr - Klopatra-Banking-Trojaner: Geheime Fernsteuerung
• 27.10.25 Uhr - Mobile-Trojaner: Betrug explodiert um 29 Prozent
• 27.10.25 Uhr - Mobile Banking: Biometrie verdrängt

• 26.10.25 Uhr - Senioren erobern Online-Banking: Deutschlands
• 26.10.25 Uhr - Online-Banking: Schutz vor digitalen Betrügern
• 23.10.25 Uhr - iPhone: Geheime Tricks revolutionieren Foto und
• 23.10.25 Uhr - Android-Banking-Trojaner: Klopatra und RatOn
• 23.10.25 Uhr - Android-Sicherheit: Zero-Click-Angriffe und