So entfernen Sie die Malware „Klopatra“ von Ihren Geräten

Was für eine Art von Malware ist Klopatra?

Klopatra ist ein Remote Access Trojaner (RAT), der auf Android-Nutzer abzielt. Die Malware kontrolliert das Gerät aus der Ferne und verleitet die Opfer dazu, sensible Informationen preiszugeben, wodurch sie sich besonders für Bankbetrug eignet. Klopatra wurde seit März 2025 mehrfach aktualisiert, was zeigt, dass die Malware aktiv weiterentwickelt wird.

Klopatra im Detail

Wenn Klopatra auf einem Android-Gerät gestartet wird, fordert es zahlreiche Berechtigungen an, wobei die wichtigste davon die Android-Barrierefreiheitsdienste sind. Mit dieser Berechtigung kann es eine Vielzahl betrügerischer Aktionen ausführen. Dazu gehören die Interaktion mit Systemdialogen und das Hinzufügen zu Ausnahmen für die Batterieoptimierung, um eine Beendigung zu vermeiden.

Im Wesentlichen fungiert Klopatra als leistungsstarker Remote Access Trojaner (RAT), der den Betreibern die Kontrolle über ein infiziertes Gerät ermöglicht. Es implementiert sowohl Standard-VNC, mit dem ein Betreiber den sichtbaren Bildschirm des Geräts anzeigen und mit ihm interagieren kann, als auch verstecktes VNC, das dem Benutzer einen schwarzen Bildschirm anzeigt, während der Angreifer das Gerät kontrolliert.

Mithilfe von Befehlen können Cyberkriminelle Tippen, Drücken, Wischen und andere Aktionen simulieren, um auf Apps zuzugreifen, Anmeldedaten einzugeben, das Gerät zu entsperren, die Bildschirmhelligkeit zu reduzieren und Transaktionen auszuführen.

Das Finanzbetrugsmodul von Klopatra nutzt Overlay-Angriffe, um Anmeldedaten aus bestimmten Banking- und Kryptowährungs-Apps zu stehlen. Wenn eine überwachte App geöffnet wird, fordert die Malware benutzerdefiniertes HTML von ihrem C2-Server an und zeigt es als überzeugenden Dialog über der echten App an, um Anmeldedaten zu erfassen.

Die gestohlenen Anmeldedaten werden an den C2-Server weitergeleitet, während die Malware gleichzeitig Gerätemetadaten, eine Liste der installierten Apps, Tastenanschläge und den Inhalt der Zwischenablage sammelt. Alle gesammelten Daten werden gepackt und an den Angreifer übertragen.

Außerdem verwendet Klopatra eine Anti-Analyse-Technik, die sich auf den kommerziellen Protector Virbox und C/C++-Komponenten konzentriert. Auf Android hilft diese seltene Konfiguration dabei, Analysen und Sicherheitserkennungen zu umgehen. Anti-Debugging-Routinen, Laufzeit-Integritätsprüfungen und Emulatorerkennung erschweren das Reverse Engineering und die kontrollierte Ausführung zusätzlich.

Die Malware verfügt auch über Verteidigungstaktiken: Sie sucht nach bekannten Sicherheitstools und versucht möglicherweise, diese zu entfernen. Außerdem kann sie die Zurück-Taste simulieren, um zu verhindern, dass das Opfer die Malware entfernt oder auf die Systemeinstellungen zugreift.

Fazit

Klopatra ist ein hochentwickelter Android-Banking-Trojaner, der mithilfe von Accessibility Services die vollständige Kontrolle über das Gerät erlangt. Er stiehlt Anmeldedaten und sensible Daten durch versteckte VNC- und Overlay-Angriffe. Die Malware umgeht die Erkennung durch fortschrittliche Schutzmaßnahmen und widersetzt sich aktiv der Entfernung.

Opfer von Klopatra-Angriffen können finanzielle Verluste, Kontoübernahmen, Identitätsdiebstahl und andere Probleme erleiden. Wenn die Malware auf einem Gerät entdeckt wird, sollte sie sofort entfernt werden.

Weitere Beispiele für Android-Malware finden Sie unter Datzbro, RatOn und RedHook.

Wie hat sich Klopatra auf mein Gerät eingeschleust?

Der Angriff beginnt mit einer bösartigen App, die als beliebter TV-Streaming-Dienst (Mobdro Pro IP TV + VPN) getarnt ist und häufig aus inoffiziellen Quellen heruntergeladen wird. Ihr primäres Ziel ist es, die Berechtigung zum Installieren von Apps aus unbekannten Quellen zu erhalten, wobei der Benutzer durch die Geräteeinstellungen geführt wird, um diese Option zu aktivieren.

Sobald diese erteilt wurde, installiert der Dropper unbemerkt und ohne Wissen des Benutzers die Haupt-Malware Klopatra.

Wie kann man die Installation von Malware vermeiden?

Verwenden Sie zum Herunterladen von Apps den Google Play Store, den Apple App Store oder andere vertrauenswürdige App-Stores. Vermeiden Sie das Herunterladen von Apps von Websites von Drittanbietern oder inoffiziellen Websites. Installieren Sie regelmäßig System- und App-Updates, um potenzielle Sicherheitslücken zu schließen. Installieren Sie eine vertrauenswürdige Antiviren- oder Anti-Malware-App und führen Sie regelmäßig Scans durch.

Klicken Sie nicht auf Links in unaufgeforderten E-Mails, SMS oder Messaging-Apps. Seien Sie vorsichtig bei Pop-ups (und ähnlichen Inhalten) auf dubiosen Seiten – interagieren Sie nicht damit.

Infektionskette des Klopatra-Banking-Trojaners (Quelle: cleafy.com):

Schnelles Menü:

• Einführung
• Wie löscht man den Browserverlauf im Chrome-Webbrowser?
• Wie deaktiviere ich Browser-Benachrichtigungen im Chrome-Webbrowser?
• Wie setzt man den Chrome-Webbrowser zurück?
• Wie löscht man den Browserverlauf im Firefox-Webbrowser?
• Wie deaktiviert man die Browser-Benachrichtigungen im Firefox-Webbrowser?
• Wie setzt man den Firefox-Webbrowser zurück?
• Wie deinstalliert man potenziell unerwünschte und/oder bösartige Anwendungen?
• Wie bootet man das Android-Gerät im "abgesicherten Modus"?
• Wie kann ich den Akkuverbrauch verschiedener Anwendungen überprüfen?
• Wie kann ich die Datennutzung verschiedener Anwendungen überprüfen?
• Wie kann ich die neuesten Software-Updates installieren?
• Wie setzt man das System auf den Standardzustand zurück?
• Wie kann ich Anwendungen mit Administratorrechten deaktivieren?

Löschen Sie den Browserverlauf aus dem Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Tippen Sie auf "Browserdaten löschen", wählen Sie die Registerkarte "ERWEITERT", wählen Sie den Zeitraum und die Datentypen, die Sie löschen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie die Browser-Benachrichtigungen im Chrome-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Einstellungen" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie die Option "Website-Einstellungen" sehen und tippen Sie darauf. Scrollen Sie nach unten, bis Sie die Option "Benachrichtigungen" sehen und tippen Sie darauf.

Suchen Sie die Websites, die Browser-Benachrichtigungen liefern, tippen Sie auf sie und klicken Sie auf "Löschen & zurücksetzen". Dadurch werden die für diese Websites erteilten Genehmigungen zum Senden von Benachrichtigungen entfernt. Wenn Sie dieselbe Website jedoch erneut besuchen, kann sie Sie erneut um eine Genehmigung bitten. Sie können wählen, ob Sie diese Erlaubnis erteilen wollen oder nicht (wenn Sie sich weigern, wird die Website in den Abschnitt "Blockiert" verschoben und fragt Sie nicht mehr nach der Erlaubnis).

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Chrome-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Chrome" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "SPEICHER VERWALTEN", dann auf "ALLE DATEN LÖSCHEN" und bestätigen Sie die Aktion durch Tippen auf "OK". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Löschen Sie den Browserverlauf aus dem Firefox-Webbrowser:

Tippen Sie auf die Schaltfläche "Menü" (drei Punkte in der rechten oberen Ecke des Bildschirms) und wählen Sie "Verlauf" im geöffneten Dropdown-Menü.

Scrollen Sie nach unten, bis Sie "Private Daten löschen" sehen und tippen Sie darauf. Wählen Sie die Datentypen, die Sie entfernen möchten, und tippen Sie auf "Daten löschen".

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Browser-Benachrichtigungen im Firefox-Webbrowser:

Besuchen Sie die Website, die Browser-Benachrichtigungen liefert, tippen Sie auf das Symbol links in der URL-Leiste (das Symbol muss nicht unbedingt ein "Schloss" sein) und wählen Sie "Website-Einstellungen bearbeiten".

Wählen Sie in dem sich öffnenden Pop-up die Option "Benachrichtigungen" und tippen Sie auf "CLEAR".

[Zurück zum Inhaltsverzeichnis]

Setzen Sie den Firefox-Webbrowser zurück:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie die Anwendung "Firefox" finden, wählen Sie sie aus und tippen Sie auf die Option "Speicher".

Tippen Sie auf "DATEN LÖSCHEN" und bestätigen Sie die Aktion mit "LÖSCHEN". Beachten Sie, dass durch das Zurücksetzen des Browsers alle darin gespeicherten Daten gelöscht werden. Dies bedeutet, dass alle gespeicherten Logins/Passwörter, der Browserverlauf, nicht standardmäßige Einstellungen und andere Daten gelöscht werden. Sie müssen sich auch bei allen Websites neu anmelden.

[Zurück zum Inhaltsverzeichnis]

Deinstallieren Sie potenziell unerwünschte und/oder bösartige Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Apps" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie eine potenziell unerwünschte und/oder bösartige Anwendung sehen, wählen Sie sie aus und tippen Sie auf "Deinstallieren". Wenn Sie aus irgendeinem Grund nicht in der Lage sind, die ausgewählte Anwendung zu entfernen (z. B. wenn Sie eine Fehlermeldung erhalten), sollten Sie versuchen, den "Abgesicherten Modus" zu verwenden.

[Zurück zum Inhaltsverzeichnis]

Starten Sie das Android-Gerät im "abgesicherten Modus":

Im "abgesicherten Modus" des Android-Betriebssystems werden vorübergehend alle Anwendungen von Drittanbietern deaktiviert. Die Verwendung dieses Modus ist eine gute Möglichkeit, verschiedene Probleme zu diagnostizieren und zu lösen (z. B. bösartige Anwendungen zu entfernen, die Benutzer daran hindern, dies zu tun, wenn das Gerät "normal" läuft).

Drücken Sie die "Power" Taste und halten Sie sie gedrückt, bis Sie den Bildschirm "Ausschalten" sehen. Tippen Sie auf das Symbol "Ausschalten" und halten Sie es gedrückt. Nach ein paar Sekunden erscheint die Option "Abgesicherter Modus" und Sie können sie durch einen Neustart des Geräts ausführen.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie den Akkuverbrauch verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Gerätewartung" sehen und tippen Sie darauf.

Tippen Sie auf "Akku" und überprüfen Sie die Nutzung der einzelnen Anwendungen. Legitime/echte Anwendungen sind so konzipiert, dass sie so wenig Energie wie möglich verbrauchen, um das beste Benutzererlebnis zu bieten und Energie zu sparen. Daher kann ein hoher Batterieverbrauch darauf hinweisen, dass die Anwendung bösartig ist.

[Zurück zum Inhaltsverzeichnis]

Überprüfen Sie die Datennutzung verschiedener Anwendungen:

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Verbindungen" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Datennutzung" sehen, und wählen Sie diese Option. Wie beim Akku sind auch legitime/echte Anwendungen darauf ausgelegt, die Datennutzung so weit wie möglich zu minimieren. Das bedeutet, dass ein hoher Datenverbrauch auf das Vorhandensein einer bösartigen Anwendung hinweisen kann. Beachten Sie, dass einige bösartige Anwendungen so konzipiert sein können, dass sie nur funktionieren, wenn das Gerät mit einem drahtlosen Netzwerk verbunden ist. Aus diesem Grund sollten Sie sowohl die mobile als auch die Wi-Fi-Datennutzung überprüfen.

Wenn Sie eine Anwendung finden, die sehr viele Daten verbraucht, obwohl Sie sie nie benutzen, sollten Sie sie so schnell wie möglich deinstallieren.

[Zurück zum Inhaltsverzeichnis]

Installieren Sie die neuesten Software-Updates:

Die Software auf dem neuesten Stand zu halten, ist eine gute Praxis, wenn es um die Gerätesicherheit geht. Die Gerätehersteller veröffentlichen ständig verschiedene Sicherheitspatches und Android-Updates, um Fehler und Bugs zu beheben, die von Cyberkriminellen missbraucht werden können. Ein veraltetes System ist viel anfälliger, weshalb Sie immer sicherstellen sollten, dass die Software Ihres Geräts auf dem neuesten Stand ist.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Softwareaktualisierung" sehen und tippen Sie darauf.

Tippen Sie auf "Updates manuell herunterladen" und prüfen Sie, ob Updates verfügbar sind. Wenn ja, installieren Sie sie sofort. Wir empfehlen Ihnen außerdem, die Option "Updates automatisch herunterladen" zu aktivieren - dann werden Sie vom System benachrichtigt, sobald ein Update verfügbar ist und/oder es wird automatisch installiert.

[Zurück zum Inhaltsverzeichnis]

Setzen Sie das System auf den Standardzustand zurück:

Das Zurücksetzen auf die Werkseinstellungen ist eine gute Möglichkeit, um alle unerwünschten Anwendungen zu entfernen, die Systemeinstellungen auf die Standardwerte zurückzusetzen und das Gerät allgemein zu reinigen. Sie müssen jedoch bedenken, dass alle Daten auf dem Gerät gelöscht werden, einschließlich Fotos, Video-/Audiodateien, Telefonnummern (die auf dem Gerät und nicht auf der SIM-Karte gespeichert sind), SMS-Nachrichten und so weiter. Mit anderen Worten: Das Gerät wird in seinen ursprünglichen Zustand zurückversetzt.

Sie können auch die grundlegenden Systemeinstellungen und/oder einfach die Netzwerkeinstellungen wiederherstellen.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Über das Telefon" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Zurücksetzen" sehen, und tippen Sie darauf. Wählen Sie nun die Aktion aus, die Sie durchführen möchten:
"Einstellungen zurücksetzen" - setzt alle Systemeinstellungen auf die Standardwerte zurück;
"Netzwerkeinstellungen zurücksetzen" - setzt alle netzwerkbezogenen Einstellungen auf die Standardwerte zurück;
"Werksdaten zurücksetzen" - setzt das gesamte System zurück und löscht alle gespeicherten Daten vollständig;

[Zurück zum Inhaltsverzeichnis]

Deaktivieren Sie Anwendungen, die über Administratorrechte verfügen:

Wenn eine bösartige Anwendung Administratorrechte erhält, kann sie das System ernsthaft beschädigen. Um das Gerät so sicher wie möglich zu halten, sollten Sie immer überprüfen, welche Anwendungen solche Rechte haben und diejenigen deaktivieren, die dies nicht sollten.

Gehen Sie zu "Einstellungen", scrollen Sie nach unten, bis Sie "Bildschirm sperren und Sicherheit" sehen und tippen Sie darauf.

Scrollen Sie nach unten, bis Sie "Andere Sicherheitseinstellungen" sehen, tippen Sie darauf und dann auf "Geräteadministratoranwendungen".

Identifizieren Sie Anwendungen, die keine Administratorrechte haben sollten, tippen Sie auf diese und dann auf "DEAKTIVIEREN".

Häufig gestellte Fragen (FAQ)

Mein Computer ist mit der Malware Klopatra infiziert. Sollte ich mein Speichermedium formatieren, um sie zu entfernen?

Das Formatieren Ihres Speichermediums ist in der Regel nicht erforderlich, um Klopatra von einem Computer zu entfernen, aber dabei werden alle Daten gelöscht, sodass dies nur als letzter Ausweg in Betracht kommen sollte. Es wird daher empfohlen, einen vollständigen Systemscan mit einem vertrauenswürdigen Tool wie Combo Cleaner durchzuführen.

Was sind die größten Probleme, die Malware verursachen kann?

Malware kann es Angreifern ermöglichen, persönliche Daten zu stehlen, Online-Konten zu übernehmen, Dateien zu beschädigen oder zu verschlüsseln, Systeme zu verlangsamen oder zum Absturz zu bringen, die Fernsteuerung von Geräten zu erlangen, zusätzliche Schadprogramme zu installieren und andere schädliche Auswirkungen zu verursachen.

Was ist der Zweck von Klopatra?

Der Zweck von Klopatra besteht darin, Bank- und persönliche Daten zu stehlen, die vollständige Kontrolle über infizierte Geräte zu erlangen und Finanzbetrug zu begehen.

Wie ist Klopatra in mein Gerät gelangt?

In der Regel werden Geräte infiziert, wenn Benutzer eine bösartige App aus einer inoffiziellen Quelle installieren, z. B. eine gefälschte TV-Streaming-App. Die App verleitet den Benutzer dazu, Installationen aus unbekannten Quellen zuzulassen, und installiert dann Klopatra ohne dessen Wissen. Weitere Informationen hierzu finden Sie in unserem Artikel oben.

Schützt mich Combo Cleaner vor Malware?

Combo Cleaner erkennt und beseitigt die meisten Malware-Programme, aber um tief versteckte Infektionen zu finden und zu entfernen, ist ein gründlicher Scan (ein vollständiger Systemscan) erforderlich.