義大利資安公司Cleafy於10月1日發布報告，揭露名為「Klopatra」的全新安卓銀行木馬，自3月首見後，夏季活躍，感染義大利及西班牙逾3,000裝置，專門於夜間隱形轉帳竊取受害者資金。此木馬偽裝成非法串流App「Mobdro」，利用無技術背景用戶的便利性，獲取無障礙服務權限，模擬手指操作解鎖裝置、輸入憑證並執行轉帳，無需受害者察覺。專家警告，此類銀行木馬演進迅速，台灣行動銀行用戶需加強App來源驗證及MFA，防範類似隱形攻擊導致財務損失。

 

Cleafy報告顯示，Klopatra為遠端存取木馬（RAT），具典型資訊蒐集功能，如截圖、錄影、列舉安裝App及顯示假通知，但其核心為疊加預渲染登入畫面於合法App，竊取憑證。木馬最強大處在於讓攻擊者遠端模擬手指操作：點擊、滑動、長按，解鎖螢幕、輸入PIN、開啟App、鍵入文字或複製剪貼簿內容，甚至發送訊息。Cleafy研究員指出，攻擊者利用此功能於歐洲夜間執行轉帳，確保受害者睡覺時無干擾。

 

攻擊流程隱密：木馬檢查螢幕關閉、使用者不活躍、裝置充電中，確認受害者就寢後，降螢幕亮度至零（看似關機），輸入先前竊取的PIN解鎖，開啟銀行App，輸入憑證並執行多筆轉帳至攻擊者帳戶。受害者晨起僅見餘額異常，無其他警訊。Kern Smith，Zimperium全球解決方案副總裁表示：「今日銀行木馬不僅竊取密碼，還即時詐欺，融合疊加、遠端控制及社會工程。」

 

Klopatra偽裝成Mobdro—全球最受歡迎非法串流服務，2021年遭娛樂公司及警方聯手關閉，用戶轉向類似App。此偽裝巧妙，Mobdro品牌知名，非法性讓用戶願外掛Google Play下載，降低警覺。安裝後，木馬請求無障礙服務權限—Android輔助殘障功能，但授予後即全權控制裝置。為規避偵測，Klopatra使用反沙箱技巧、原生函式庫（難讀取）、中國商業打包器Virbox壓縮加密惡意程式碼，挫敗分析。Cleafy表示，此木馬為銀行木馬經典模式演進，雖非革命性，但解決每道安全障礙，確保受害者無警覺。

 

銀行木馬雖數十年不變，但持續演進，Smith指出：「它們融合疊加、遠端控制及社會工程，企業需專門行動工具應對。」歐洲串流權利碎片化，讓非法App需求高，Mobdro關閉後，用戶易上鉤。Klopatra不僅竊取，還執行轉帳，放大損失。BleepingComputer報導，木馬使用商業打包器Virbox，虛擬化惡意碼，難逆向工程。Security Affairs分析，此木馬針對歐洲銀行App，疊加假登入畫面，結合遠端操作，無需受害者互動。

 

台灣資安專家分析，此木馬對本土行動銀行用戶威脅大。台灣行動支付普及，銀行App如台灣銀行、玉山銀行易成目標。行政院國家資通安全會報表示，將監測Klopatra相關活動，呼籲用戶僅從Google Play下載App，啟用MFA及生物識別。趨勢科技台灣區總經理洪偉淦受訪時指出：「Klopatra夜間轉帳隱形性高，台灣用戶需檢查無障礙權限，監控異常App行為。」他建議，部署行動端點保護（如Zimperium），驗證App簽名，並教育辨識非法串流誘餌，防範財務竊取導致身份盜用。

 

此事件與近期資安趨勢呼應，如Akira攻擊SonicWall VPN繞過MFA、Cisco零日漏洞遭國家級APT利用，顯示銀行及邊緣裝置成熱點。Cleafy呼籲，企業監控無障礙服務濫用及夜間流量。台灣政府可推動行動資安法規，強制銀行App加密及反木馬機制。用戶防範之道包括：避免側載App、使用生物鎖、定期檢查權限、監控銀行交易。隨著行動詐欺演進，銀行木馬如Klopatra料將頻發，台灣需強化防禦，確保數位錢包安全。

 

 

出處：Dark Reading