Jak usunąć złośliwe oprogramowanie Klopatra z urządzeń

Czym jest złośliwe oprogramowanie Klopatra?

Klopatra to trojan zdalnego dostępu (RAT) atakujący użytkowników systemu Android. Złośliwe oprogramowanie zarówno zdalnie kontroluje urządzenie, jak i nakłania ofiary do ujawnienia poufnych informacji, dzięki czemu skutecznie wykorzystuje je do oszustw bankowych. Od marca 2025 r. Klopatra była wielokrotnie aktualizowana, co świadczy o tym, że złośliwe oprogramowanie jest aktywnie rozwijane.

Klopatra w szczegółach

Po uruchomieniu na urządzeniu z systemem Android Klopatra prosi o wiele uprawnień, ale kluczowym z nich jest dostęp do usług ułatwień dostępu systemu Android. Dzięki temu uprawnieniu może wykonywać różne nieuczciwe działania. Obejmują one interakcję z oknami dialogowymi systemu i dodawanie się do wyjątków optymalizacji baterii, aby uniknąć zamknięcia.

Zasadniczo Klopatra działa jako potężny trojan zdalnego dostępu (RAT), który zapewnia operatorom kontrolę nad zainfekowanym urządzeniem. Wykorzystuje zarówno standardowy protokół VNC, który pozwala operatorowi wyświetlać ekran urządzenia i wchodzić z nim w interakcję, jak i ukryty protokół VNC, który wyświetla użytkownikowi czarny ekran, podczas gdy atakujący kontroluje urządzenie.

Za pomocą poleceń cyberprzestępcy mogą symulować dotknięcia, naciśnięcia, przesunięcia i inne działania, aby uzyskać dostęp do aplikacji, wprowadzić dane uwierzytelniające, odblokować urządzenie, zmniejszyć jasność ekranu i wykonać transakcje.

Moduł oszustw finansowych Klopatra wykorzystuje ataki nakładkowe do kradzieży danych uwierzytelniających z docelowych aplikacji bankowych i kryptowalutowych. Po otwarciu monitorowanej aplikacji złośliwe oprogramowanie żąda niestandardowego kodu HTML z serwera C2 i wyświetla go jako przekonujące okno dialogowe nad prawdziwą aplikacją w celu przechwycenia danych logowania.

Skradzione dane logowania są przesyłane do serwera C2, a złośliwe oprogramowanie jednocześnie gromadzi metadane urządzenia, listę zainstalowanych aplikacji, naciśnięcia klawiszy i zawartość schowka. Wszystkie zebrane dane są pakowane i przesyłane do atakującego.

Ponadto Klopatra wykorzystuje technikę antyanalizy opartą na komercyjnym zabezpieczeniu Virbox i komponentach C/C++. W systemie Android ta rzadka konfiguracja pomaga uniknąć analizy i wykrycia zabezpieczeń. Procedury antydebugowania, kontrole integralności środowiska uruchomieniowego i wykrywanie emulatorów dodatkowo utrudniają inżynierię odwrotną i kontrolowane wykonywanie.

Złośliwe oprogramowanie zawiera również taktyki obronne: sprawdza znane narzędzia bezpieczeństwa i może próbować je usunąć, a także może symulować przycisk Wstecz, aby uniemożliwić ofierze usunięcie złośliwego oprogramowania lub dostęp do ustawień systemowych.

Wnioski

Klopatra to zaawansowany trojan bankowy dla systemu Android, który przejmuje pełną kontrolę nad urządzeniem za pomocą usług ułatwień dostępu. Kradnie dane uwierzytelniające i poufne dane poprzez ukryte ataki VNC i nakładki. Złośliwe oprogramowanie unika wykrycia dzięki zaawansowanym środkom ochrony i aktywnie przeciwstawia się usunięciu.

Ofiary ataków Klopatra mogą ponieść straty finansowe, przejęcie konta, kradzież tożsamości i inne problemy. W przypadku wykrycia na urządzeniu złośliwe oprogramowanie należy natychmiast usunąć.

Więcej przykładów złośliwego oprogramowania dla systemu Android można znaleźć pod adresem Datzbro, RatOn oraz RedHook.

W jaki sposób Klopatra przeniknęła do mojego urządzenia?

Atak rozpoczyna się od złośliwej aplikacji przebranej za popularną usługę strumieniowego przesyłania programów telewizyjnych (Mobdro Pro IP TV + VPN), często pobieranej z nieoficjalnych źródeł. Jego głównym celem jest uzyskanie pozwolenia na instalowanie aplikacji z nieznanych źródeł, prowadząc użytkownika przez ustawienia urządzenia w celu włączenia tej opcji.

Po uzyskaniu pozwolenia dropper po cichu instaluje główne złośliwe oprogramowanie Klopatra bez wiedzy użytkownika.

Jak uniknąć instalacji złośliwego oprogramowania?

Pobierając aplikacje, korzystaj ze sklepu Google Play Store, Apple App Store lub innych zaufanych sklepów z aplikacjami. Unikaj pobierania aplikacji z witryn stron trzecich lub nieoficjalnych stron internetowych. Regularnie instaluj aktualizacje systemu i aplikacji, aby załatać potencjalne luki w zabezpieczeniach. Zainstaluj zaufaną aplikację antywirusową lub chroniącą przed złośliwym oprogramowaniem i regularnie przeprowadzaj skanowanie.

Nie klikaj linków w niechcianych wiadomościach e-mail, SMS-ach lub aplikacjach do przesyłania wiadomości. Zachowaj ostrożność w przypadku wyskakujących okienek (i podobnych treści) na podejrzanych stronach — nie wchodź z nimi w interakcję.

Łańcuch infekcji trojanem bankowym Klopatra (źródło: cleafy.com):

Szybkie menu:

• Wprowadzenie
• Jak usunąć historię przeglądania z przeglądarki internetowej Chrome?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Chrome?
• Jak zresetować przeglądarkę internetową Chrome?
• Jak usunąć historię przeglądania z przeglądarki internetowej Firefox?
• Jak wyłączyć powiadomienia przeglądarki w przeglądarce internetowej Firefox?
• Jak zresetować przeglądarkę internetową Firefox?
• Jak odinstalować potencjalnie niechciane i/lub złośliwe aplikacje?
• Jak uruchomić urządzenie z systemem Android w „trybie awaryjnym”?
• Jak sprawdzić zużycie baterii przez różne aplikacje?
• Jak sprawdzić zużycie danych przez różne aplikacje?
• Jak zainstalować najnowsze aktualizacje oprogramowania?
• Jak przywrócić system do stanu domyślnego?
• Jak wyłączyć aplikacje posiadające uprawnienia administratora?

Usuń historię przeglądania z przeglądarki internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Naciśnij „Wyczyść dane przeglądania”, wybierz zakładkę „ZAAWANSOWANE”, wybierz zakres czasu i typy danych, które chcesz usunąć, a następnie naciśnij „Wyczyść dane”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Chrome:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Ustawienia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz opcję „Ustawienia witryny” i dotknij jej. Przewiń w dół, aż zobaczysz opcję „Powiadomienia” i dotknij jej.

Znajdź strony internetowe, które wysyłają powiadomienia przeglądarki, kliknij na nie i wybierz opcję „Wyczyść i zresetuj”. Spowoduje to usunięcie uprawnień przyznanych tym stronom internetowym do wysyłania powiadomień. Jednak po ponownym odwiedzeniu tej samej strony może ona ponownie poprosić o przyznanie uprawnień. Możesz zdecydować, czy chcesz udzielić tych uprawnień, czy nie (jeśli zdecydujesz się odmówić, strona internetowa zostanie przeniesiona do sekcji „Zablokowane” i nie będzie już prosić Cię o uprawnienia).

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Chrome:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Chrome”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „ZARZĄDZAJ PAMIĘCIĄ”, następnie „WYMAŻ WSZYSTKIE DANE” i potwierdź działanie, naciskając „OK”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich przechowywanych w niej danych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Usuń historię przeglądania z przeglądarki internetowej Firefox:

Naciśnij przycisk „Menu” (trzy kropki w prawym górnym rogu ekranu) i wybierz „Historia” z rozwijanego menu.

Przewiń w dół, aż zobaczysz „Wyczyść dane prywatne” i dotknij tej opcji. Wybierz typy danych, które chcesz usunąć, i dotknij „WYMAŻ DANE”.

[Wróć do Spisu treści]

Wyłącz powiadomienia przeglądarki w przeglądarce internetowej Firefox:

Odwiedź stronę internetową, która wyświetla powiadomienia przeglądarki, dotknij ikony wyświetlanej po lewej stronie paska adresu URL (ikona niekoniecznie będzie miała postać „Kłódka”) i wybierz opcję „Edytuj ustawienia witryny”.

W otwartym oknie pop-up wybierz opcję „Powiadomienia” i naciśnij „WYMAŻ”.

[Wróć do Spisu treści]

Zresetuj przeglądarkę internetową Firefox:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż znajdziesz aplikację „Firefox”, wybierz ją i dotknij opcji „Pamięć”.

Naciśnij „WYMAŻ DANE” i potwierdź działanie, naciskając „USUŃ”. Pamiętaj, że zresetowanie przeglądarki spowoduje usunięcie wszystkich danych w niej przechowywanych. Oznacza to, że wszystkie zapisane loginy/hasła, historia przeglądania, niestandardowe ustawienia i inne dane zostaną usunięte. Będziesz również musiał ponownie zalogować się do wszystkich stron internetowych.

[Wróć do Spisu treści]

Odinstaluj potencjalnie niechciane i/lub złośliwe aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aplikacje” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz potencjalnie niechcianą i/lub złośliwą aplikację, wybierz ją i kliknij „Odinstaluj”. Jeśli z jakiegoś powodu nie możesz usunąć wybranej aplikacji (np. pojawia się komunikat o błędzie), spróbuj użyć „Trybu awaryjnego”.

[Wróć do Spisu treści]

Uruchom urządzenie z systemem Android w „trybie awaryjnym”:

Tryb „Tryb awaryjny” w systemie operacyjnym Android tymczasowo wyłącza działanie wszystkich aplikacji innych producentów. Korzystanie z tego trybu jest dobrym sposobem na zdiagnozowanie i rozwiązanie różnych problemów (np. usunięcie złośliwych aplikacji, które uniemożliwiają użytkownikom wykonanie tej czynności, gdy urządzenie działa „normalnie”).

Naciśnij przycisk „Zasilanie” i przytrzymaj go, aż pojawi się ekran „Wyłączanie”. Naciśnij ikonę „Wyłącz” i przytrzymaj ją. Po kilku sekundach pojawi się opcja „Tryb awaryjny”, którą można uruchomić, restartując urządzenie.

[Wróć do Spisu treści]

Sprawdź zużycie baterii przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Konserwacja urządzenia” i dotknij tej opcji.

Naciśnij „Bateria” i sprawdź zużycie energii przez każdą aplikację. Legalne/oryginalne aplikacje są zaprojektowane tak, aby zużywać jak najmniej energii, zapewniając użytkownikom jak najlepsze wrażenia i oszczędzając energię. Dlatego wysokie zużycie baterii może wskazywać, że aplikacja jest złośliwa.

[Wróć do Spisu treści]

Sprawdź zużycie danych przez różne aplikacje:

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Połączenia” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Wykorzystanie danych” i wybierz tę opcję. Podobnie jak w przypadku baterii, legalne/oryginalne aplikacje są zaprojektowane tak, aby maksymalnie ograniczyć wykorzystanie danych. Oznacza to, że duże zużycie danych może wskazywać na obecność złośliwej aplikacji. Należy pamiętać, że niektóre złośliwe aplikacje mogą być zaprojektowane tak, aby działały tylko wtedy, gdy urządzenie jest podłączone do sieci bezprzewodowej. Z tego powodu należy sprawdzić zarówno wykorzystanie danych komórkowych, jak i Wi-Fi.

Jeśli znajdziesz aplikację, która zużywa dużo danych, mimo że nigdy jej nie używasz, zdecydowanie zalecamy jak najszybsze jej odinstalowanie.

[Wróć do Spisu treści]

Zainstaluj najnowsze aktualizacje oprogramowania:

Aktualizowanie oprogramowania jest dobrą praktyką, jeśli chodzi o bezpieczeństwo urządzeń. Producenci urządzeń nieustannie wydają różne poprawki bezpieczeństwa i aktualizacje systemu Android w celu naprawienia błędów i usterek, które mogą zostać wykorzystane przez cyberprzestępców. Przestarzały system jest znacznie bardziej podatny na ataki, dlatego zawsze należy upewnić się, że oprogramowanie urządzenia jest aktualne.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Aktualizacja oprogramowania” i dotknij tej opcji.

Naciśnij „Pobierz aktualizacje ręcznie” i sprawdź, czy są dostępne jakieś aktualizacje. Jeśli tak, zainstaluj je natychmiast. Zalecamy również włączenie opcji „Pobierz aktualizacje automatycznie” – dzięki temu system powiadomi Cię o wydaniu aktualizacji i/lub zainstaluje ją automatycznie.

[Wróć do Spisu treści]

Przywróć system do stanu domyślnego:

Wykonanie „przywrócenia ustawień fabrycznych” to dobry sposób na usunięcie wszystkich niechcianych aplikacji, przywrócenie domyślnych ustawień systemu i ogólne wyczyszczenie urządzenia. Należy jednak pamiętać, że wszystkie dane znajdujące się w urządzeniu zostaną usunięte, w tym zdjęcia, pliki wideo/audio, numery telefonów (zapisane w urządzeniu, a nie na karcie SIM), wiadomości SMS itp. Innymi słowy, urządzenie zostanie przywrócone do stanu pierwotnego.

Można również przywrócić podstawowe ustawienia systemowe i/lub po prostu ustawienia sieciowe.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Informacje o telefonie” i dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Resetuj” i dotknij tej opcji. Teraz wybierz czynność, którą chcesz wykonać:
„ Resetuj ustawienia” – przywróć wszystkie ustawienia systemowe do wartości domyślnych;
„Resetuj ustawienia sieciowe” – przywróć wszystkie ustawienia związane z siecią do wartości domyślnych;
„Resetuj dane fabryczne” – zresetuj cały system i całkowicie usuń wszystkie zapisane dane;

[Wróć do Spisu treści]

Wyłącz aplikacje posiadające uprawnienia administratora:

Jeśli złośliwa aplikacja uzyska uprawnienia administratora, może poważnie uszkodzić system. Aby zapewnić maksymalne bezpieczeństwo urządzenia, należy zawsze sprawdzać, które aplikacje mają takie uprawnienia, i wyłączać te, które nie powinny ich mieć.

Przejdź do „Ustawienia”, przewiń w dół, aż zobaczysz „Ekran blokady i zabezpieczenia”, a następnie dotknij tej opcji.

Przewiń w dół, aż zobaczysz „Inne ustawienia zabezpieczeń”, dotknij tej opcji, a następnie dotknij „Aplikacje administratora urządzenia”.

Zidentyfikuj aplikacje, które nie powinny mieć uprawnień administratora, dotknij ich, a następnie dotknij „DEAKTYWUJ”.

Często zadawane pytania (FAQ)

Mój komputer jest zainfekowany złośliwym oprogramowaniem Klopatra. Czy powinienem sformatować urządzenie pamięci masowej, aby się go pozbyć?

Sformatowanie pamięci masowej zazwyczaj nie jest konieczne, aby usunąć Klopatra z komputera, ale spowoduje to usunięcie wszystkich danych, więc powinno być ostatecznością. Dlatego zaleca się przeprowadzenie pełnego skanowania systemu za pomocą zaufanego narzędzia, takiego jak Combo Cleaner.

Jakie są największe problemy, które może spowodować złośliwe oprogramowanie?

Złośliwe oprogramowanie może umożliwić atakującym kradzież danych osobowych, przejęcie kont internetowych, uszkodzenie lub zaszyfrowanie plików, spowolnienie lub awarię systemów, uzyskanie zdalnej kontroli nad urządzeniami, zainstalowanie dodatkowych złośliwych programów i spowodowanie innych szkodliwych skutków.

Jaki jest cel działania Klopatra?

Celem działania Klopatra jest kradzież danych bankowych i osobistych, przejęcie pełnej kontroli nad zainfekowanymi urządzeniami oraz popełnienie oszustwa finansowego.

W jaki sposób Klopatra przeniknęła do mojego urządzenia?

Zazwyczaj urządzenia zostają zainfekowane, gdy użytkownicy instalują złośliwą aplikację z nieoficjalnego źródła, np. fałszywą aplikację do strumieniowego przesyłania programów telewizyjnych. Aplikacja ta nakłania użytkownika do zezwolenia na instalacje z nieznanych źródeł, a następnie po cichu instaluje Klopatrę bez jego wiedzy. Więcej informacji na ten temat można znaleźć w naszym artykule powyżej.

Czy Combo Cleaner ochroni mnie przed złośliwym oprogramowaniem?

Combo Cleaner wykrywa i eliminuje większość złośliwego oprogramowania, ale aby znaleźć i usunąć głęboko ukryte infekcje, konieczne jest dokładne skanowanie (pełne skanowanie systemu).