Come eliminare il malware Klopatra dai dispositivi

Che tipo di malware è Klopatra?

Klopatra è un trojan di accesso remoto (RAT) che prende di mira gli utenti Android. Il malware controlla il dispositivo da remoto e induce le vittime a rivelare informazioni sensibili, rendendolo efficace per le frodi bancarie. Klopatra è stato aggiornato molte volte dal marzo 2025, il che dimostra che il malware è in fase di sviluppo attivo.

Klopatra in dettaglio

Quando Klopatra viene avviato su un dispositivo Android, richiede molte autorizzazioni, ma quella fondamentale è Android Accessibility Services. Con tale autorizzazione, può eseguire una serie di azioni fraudolente. Ciò include l'interazione con le finestre di dialogo di sistema e l'aggiunta di se stesso alle eccezioni di ottimizzazione della batteria per evitare la chiusura.

Essenzialmente, Klopatra funziona come un potente trojan di accesso remoto (RAT) che garantisce agli operatori il controllo di un dispositivo infetto. Implementa sia il VNC standard, che consente a un operatore di visualizzare e interagire con lo schermo visibile del dispositivo, sia il VNC nascosto, che mostra una schermata nera all'utente mentre l'aggressore controlla il dispositivo.

Attraverso comandi, i criminali informatici possono simulare tocchi, pressioni, scorrimento e altre azioni per accedere alle app, inserire credenziali, sbloccare il dispositivo, ridurre la luminosità dello schermo ed eseguire transazioni.

Il modulo di frode finanziaria di Klopatra utilizza attacchi overlay per rubare le credenziali dalle app bancarie e di criptovaluta prese di mira. Quando viene aperta un'app monitorata, il malware richiede un HTML personalizzato dal suo server C2 e lo visualizza come una finestra di dialogo convincente sopra l'app reale per acquisire i dettagli di accesso.

Le credenziali rubate vengono esfiltrate al C2 e il malware raccoglie contemporaneamente i metadati del dispositivo , l'elenco delle app installate, i tasti digitati e il contenuto degli appunti. Tutti i dati raccolti vengono impacchettati e trasmessi all'autore dell'attacco.

Inoltre, Klopatra impiega una tecnica anti-analisi incentrata sul protettore commerciale Virbox e sui componenti C/C++. Su Android, questa rara configurazione aiuta a eludere l'analisi e il rilevamento di sicurezza. Le routine anti-debugging, i controlli di integrità runtime e il rilevamento dell'emulatore complicano ulteriormente il reverse engineering e l'esecuzione controllata.

Il malware include anche tattiche di difesa: verifica la presenza di strumenti di sicurezza noti e può tentare di rimuoverli, inoltre può simulare il pulsante Indietro per impedire alla vittima di rimuovere il malware o accedere alle impostazioni di sistema.

Conclusione

Klopatra è un sofisticato trojan bancario per Android che ottiene il controllo completo del dispositivo utilizzando i servizi di accessibilità. Ruba credenziali e dati sensibili attraverso attacchi VNC nascosti e overlay. Il malware elude il rilevamento con misure di protezione avanzate e resiste attivamente alla rimozione.

Le vittime degli attacchi di Klopatra possono subire perdite monetarie, appropriazione indebita di account, furto di identità e altri problemi. Se rilevato su un dispositivo, il malware deve essere rimosso immediatamente.

Altri esempi di malware Android sono Datzbro, RatOn e RedHook.

Come ha fatto Klopatra a infiltrarsi nel mio dispositivo?

L'attacco inizia con un'app dannosa camuffata da popolare servizio di streaming TV (Mobdro Pro IP TV + VPN), spesso scaricata da fonti non ufficiali. Il suo obiettivo principale è ottenere il permesso di installare app da fonti sconosciute, guidando l'utente attraverso le impostazioni del dispositivo per abilitare questa opzione.

Una volta concessa, il dropper installa silenziosamente il malware Klopatra principale all'insaputa dell'utente.

Come evitare l'installazione di malware?

Quando scarichi app, utilizza Google Play Store, Apple App Store o altri app store affidabili. Evita di scaricare app da siti web di terze parti o non ufficiali. Installa regolarmente gli aggiornamenti di sistema e delle app per correggere potenziali vulnerabilità di sicurezza. Installa un'app antivirus o anti-malware affidabile ed esegui scansioni regolari.

Non cliccare sui link contenuti in e-mail, SMS o app di messaggistica non richiesti. Fai attenzione ai pop-up (e contenuti simili) su pagine sospette: non interagire con essi.

Catena di infezione del trojan bancario Klopatra (fonte: cleafy.com):

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come resettare il browser Chrome?
• Come cancellare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser Firefox?
• Come resettare il browser web Firefox?
• Come disinstallare le applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "modalità provvisoria"?
• Come controllare l'utilizzo della batteria di varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare lo stato di default del sistema?
• Come disattivare le applicazioni con privilegi di amministratore?

Eliminare la cronologia di navigazione dal browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Cronologia" nel menu a discesa aperto.

Toccare "Cancella dati di navigazione", selezionare la scheda "AVANZATE", scegliere l'intervallo di tempo e i tipi di dati che si desidera eliminare e toccare "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Chrome:

Toccate il pulsante "Menu" (tre punti nell'angolo superiore destro dello schermo) e selezionate "Impostazioni" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare l'opzione "Impostazioni del sito" e toccarla. Scorrete verso il basso fino a visualizzare l'opzione "Notifiche" e toccatela.

Individuate i siti Web che forniscono notifiche del browser, toccateli e fate clic su "Cancella e ripristina". In questo modo verranno rimosse le autorizzazioni concesse a questi siti web per l'invio di notifiche. Tuttavia, una volta visitato nuovamente lo stesso sito, questo potrebbe richiedere nuovamente un'autorizzazione. Potete scegliere se concedere o meno questi permessi (se scegliete di rifiutarli, il sito passerà alla sezione "Bloccato" e non vi chiederà più l'autorizzazione).

[Torna al Sommario]

Reimpostare il browser Chrome:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Chrome", selezionarla e toccare l'opzione "Archiviazione".

Toccate "GESTIONE MEMORIZZAZIONE", quindi "CANCELLA TUTTI I DATI" e confermate l'operazione toccando "OK". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Cancellare la cronologia di navigazione dal browser Firefox:

Toccare il pulsante "Menu" (tre puntini nell'angolo superiore destro dello schermo) e selezionare "Cronologia" nel menu a discesa aperto.

Scorrere verso il basso fino a visualizzare "Cancella dati privati" e toccarlo. Selezionate i tipi di dati che desiderate rimuovere e toccate "Cancella dati".

[Torna al Sommario]

Disattivare le notifiche del browser nel browser Firefox:

Visitare il sito web che invia le notifiche del browser, toccare l'icona visualizzata a sinistra della barra degli URL (l'icona non sarà necessariamente un "lucchetto") e selezionare "Modifica impostazioni del sito".

Nel pop-up aperto, selezionare l'opzione "Notifiche" e toccare "CANCELLA".

[Torna al Sommario]

Reimpostare il browser web Firefox:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere verso il basso fino a trovare l'applicazione "Firefox", selezionarla e toccare l'opzione "Memoria".

Toccare "CANCELLA DATI" e confermare l'azione toccando "CANCELLA". Si noti che la reimpostazione del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrete inoltre effettuare nuovamente il login in tutti i siti web.

[Torna al Sommario]

Disinstallare le applicazioni potenzialmente indesiderate e/o dannose:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Applicazioni" e toccarlo.

Scorrere fino a individuare un'applicazione potenzialmente indesiderata e/o dannosa, selezionarla e toccare "Disinstalla". Se, per qualche motivo, non si riesce a rimuovere l'applicazione selezionata (ad esempio, viene visualizzato un messaggio di errore), si dovrebbe provare a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avviare il dispositivo Android in "modalità provvisoria":

La "modalità provvisoria" del sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'uso di questa modalità è un buon modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere le applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premete il pulsante "Power" e tenetelo premuto finché non appare la schermata "Power off". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo qualche secondo apparirà l'opzione "Modalità provvisoria" e sarà possibile eseguirla riavviando il dispositivo.

[Torna al Sommario]

Controllare l'utilizzo della batteria delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Manutenzione del dispositivo" e toccarlo.

Toccare "Batteria" e controllare l'utilizzo di ogni applicazione. Le applicazioni legittime/genuino sono progettate per utilizzare il minor consumo possibile di energia, al fine di fornire la migliore esperienza utente e risparmiare energia. Pertanto, un utilizzo elevato della batteria può indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controllare l'utilizzo dei dati delle varie applicazioni:

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Connessioni" e toccarlo.

Scorrere fino a visualizzare "Utilizzo dati" e selezionare questa opzione. Come per la batteria, le applicazioni legittime/genuini sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo massiccio di dati può indicare la presenza di un'applicazione dannosa. Si noti che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso alla rete wireless. Per questo motivo, è necessario controllare l'utilizzo dei dati sia da rete mobile che da rete Wi-Fi.

Se trovate un'applicazione che consuma molti dati anche se non la usate mai, vi consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installare gli ultimi aggiornamenti del software:

Mantenere il software aggiornato è una buona pratica quando si tratta di sicurezza del dispositivo. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per risolvere errori e bug che possono essere sfruttati dai criminali informatici. Un sistema non aggiornato è molto più vulnerabile, per questo motivo bisogna sempre assicurarsi che il software del dispositivo sia aggiornato.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Aggiornamento software" e toccarlo.

Toccare "Scarica gli aggiornamenti manualmente" e verificare se sono disponibili aggiornamenti. In caso affermativo, installateli immediatamente. Si consiglia inoltre di attivare l'opzione "Scarica automaticamente gli aggiornamenti", che consentirà al sistema di notificare il rilascio di un aggiornamento e/o di installarlo automaticamente.

[Torna al Sommario]

Ripristinare lo stato di default del sistema:

L'esecuzione di un "Reset di fabbrica" è un buon modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, comprese le foto, i file video/audio, i numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), i messaggi SMS e così via. In altre parole, il dispositivo verrà riportato allo stato primordiale.

È anche possibile ripristinare le impostazioni di base del sistema e/o semplicemente le impostazioni di rete.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Informazioni sul telefono" e toccarlo.

Scorrete verso il basso fino a visualizzare "Ripristino" e toccatelo. Ora scegliete l'azione che desiderate eseguire:
"Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema e cancella completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattivate le applicazioni che hanno privilegi di amministratore:

Se un'applicazione dannosa ottiene i privilegi di amministratore, può danneggiare seriamente il sistema. Per mantenere il dispositivo il più sicuro possibile, si dovrebbe sempre controllare quali applicazioni hanno tali privilegi e disabilitare quelle che non dovrebbero.

Accedere a "Impostazioni", scorrere verso il basso fino a visualizzare "Schermata di blocco e sicurezza" e toccarlo.

Scorrere verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccarlo e quindi toccare "Applicazioni di amministrazione del dispositivo".

Identificare le applicazioni che non devono avere privilegi di amministratore, toccarle e quindi toccare "DISATTIVA".

Domande frequenti (FAQ)

Il mio computer è stato infettato dal malware Klopatra, devo formattare il mio dispositivo di archiviazione per eliminarlo?

Di solito non è necessario formattare il dispositivo di archiviazione per rimuovere Klopatra dal computer, ma questa operazione cancellerà tutti i dati, quindi dovrebbe essere considerata come ultima risorsa. Si consiglia quindi di eseguire una scansione completa del sistema con uno strumento affidabile come Combo Cleaner.

Quali sono i problemi più gravi che il malware può causare?

Il malware può consentire agli aggressori di rubare informazioni personali, assumere il controllo di account online, danneggiare o crittografare file, rallentare o bloccare i sistemi, ottenere il controllo remoto dei dispositivi, installare ulteriori programmi dannosi e causare altri effetti dannosi.

Qual è lo scopo di Klopatra?

Lo scopo di Klopatra è quello di rubare informazioni bancarie e personali, assumere il controllo totale dei dispositivi infetti e commettere frodi finanziarie.

Come ha fatto Klopatra a infiltrarsi nel mio dispositivo?

In genere, i dispositivi vengono infettati quando gli utenti installano un'app dannosa da una fonte non ufficiale, come una falsa app di streaming TV. L'app induce l'utente a consentire l'installazione da fonti sconosciute, quindi installa Klopatra in modo silenzioso a sua insaputa. Maggiori informazioni al riguardo sono disponibili nel nostro articolo sopra.

Combo Cleaner mi proteggerà dal malware?

Combo Cleaner rileva ed elimina la maggior parte dei malware, ma è necessaria una scansione approfondita (una scansione completa del sistema) per individuare e rimuovere le infezioni nascoste in profondità.