Malware DroidBot atakuje banki i organizacje narodowe w całej Europie

Analitycy bezpieczeństwa z Cleafy odkryli zaawansowanego Android Remote Access Trojan (RAT) o nazwie DroidBot, zidentyfikowanego jako część operacji Malware-as-a-Service (MaaS) pochodzącej z Turcji.

Pierwsze ślady DroidBota można prześledzić do czerwca 2024 roku, a aktywne obserwacje rozpoczęły się w październiku. DroidBot wykazuje zaawansowane możliwości i rosnący wpływ geograficzny, szczególnie w Europie.

DroidBot to rodzaj szpiegowskiego oprogramowania, które łączy metody takie jak ukryty dostęp do ekranu i fałszywe ekrany logowania, aby kraść dane osobowe. Wysyła skradzione dane za pomocą metody zaprojektowanej dla inteligentnych urządzeń i odbiera polecenia poprzez bezpieczne strony internetowe, co utrudnia jego wykrycie.

Niektóre z jego sztuczek obejmują rejestrowanie tego, co wpisujesz, aby przechwycić hasła, tworzenie fałszywych ekranów logowania, aby ukraść twoje informacje, robienie zrzutów ekranu twojego telefonu, aby szpiegować twoją aktywność, a nawet zdalne sterowanie twoim telefonem, aby naśladować twoje działania.

Korzysta z usług dostępności Androida, które użytkownicy często nieświadomie udzielają podczas instalacji. Przebrany za nieszkodliwe aplikacje, takie jak narzędzia zabezpieczające czy bankowe, DroidBot oszukuje ludzi, nakłaniając ich do jego pobrania.

DroidBot ma na celu 77 organizacji, w tym banki, giełdy kryptowalut i podmioty narodowe. Kampanie obserwowano w Wielkiej Brytanii, Francji, Hiszpanii, Włoszech i Portugalii, a także są oznaki ekspansji na Amerykę Łacińską.

Preferencje językowe w kodzie i infrastrukturze złośliwego oprogramowania sugerują, że jego twórcami mogą być osoby mówiące po turecku.

Można zauważyć ciągły rozwój, co jest widoczne na przykładzie niespójności w kontrolach root, poziomach zaciemnienia oraz procesach rozpakowywania w różnych próbkach. Te zmiany wskazują na próby doskonalenia złośliwego oprogramowania i dostosowywania go do różnych środowisk.

DroidBot działa w ramach struktury MaaS, gdzie partnerzy płacą za dostęp do jej infrastruktury. Cleafy zidentyfikowało 17 grup partnerskich korzystających z tego samego serwera MQTT, co wskazuje na współpracę lub demonstracje możliwości tego złośliwego oprogramowania.

Reklamowana na rosyjskojęzycznych forach hakerskich, usługa obejmuje zaawansowane funkcje, takie jak zautomatyzowane systemy transferu (ATS) do przestępstw finansowych i kosztuje partnerów $3 000 miesięcznie.

Złożoność DroidBota, wspierana przez rutyny szyfrowania i komunikację opartą na MQTT, stawia go jako znaczące zagrożenie cybernetyczne. Jego model MaaS, ciągły rozwój i zdolność do obejścia dwuskładnikowego uwierzytelniania budzą niepokój instytucji finansowych i rządów.

W miarę jak DroidBot nadal ewoluuje, eksperci ds. bezpieczeństwa podkreślają konieczność czujności i zwiększenia środków ochronnych dla organizacji w dotkniętych regionach.