新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户

admin 2024年12月5日21:05:03评论34 views字数 1298阅读4分19秒阅读模式
新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户

Cleafy 的网络安全研究人员发现了一种名为 DroidBot 的复杂新型 Android 远程访问木马 (RAT)。

DroidBot 于 2024 年 10 月下旬首次被发现,活动痕迹可追溯到 6 月,它是一种恶意软件即服务 (MaaS) 操作,为针对欧洲各地金融和政府机构的监视和欺诈提供高级工具。

Cleafy 的威胁情报和研究 (TIR) 团队在调查利用 Android 设备的恶意软件活动时发现了DroidBot,并发现新变种与现有恶意软件家族没有确认的联系。

DroidBot 这个名字源自与其操作关联的域。

DroidBot 的主要特点包括:

  • 1.隐藏的 VNC 和覆盖攻击允许实时远程控制和拦截敏感用户凭据。
  • 2.通过键盘记录和监控来捕获用户交互,以窃取凭证。
  • 3.双重通信通道,MQTT 用于数据泄露,HTTPS 用于接收命令,增强了其操作灵活性和弹性。

研究人员确定了 77 个目标,包括英国、法国、意大利、西班牙和葡萄牙的银行、加密货币交易所和政府组织。

该恶意软件仍在不断发展,样本中的占位符函数和不同程度的混淆就是明证。

新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户
DroidBot Cleafy瞄准的银行位置

DroidBot 还利用侧载技术来感染设备,通常伪装成 Google Play Store 或 Chrome 等合法应用程序。

新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户
恶意软件Cleafy使用的常见诱饵应用程序

恶意软件即服务模式

DroidBot 是一个 MaaS 平台,其创建者向关联公司出售访问权限。

这些关联公司使用恶意软件开展活动,这些活动由专用基础设施提供便利。

Cleafy 在 DroidBot 样本中发现了 17 个不同的附属团体,这些团体具有指向多个运营商的唯一标识符,其中一些运营商共享相同的基础设施。

附属团体获得了一个构建器工具,使他们能够针对特定目标自定义恶意软件。

该操作还提供了一个命令和控制 (C2) 面板,附属团体可以通过集中式仪表板执行远程设备控制、凭证收集和注入攻击。

新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户
DroidBot 的管理面板

DroidBot 的创建者在俄语论坛上做广告,以每月 3,000 美元的价格宣传自动传输系统 (ATS) 和远程设备控制等功能。

对泄露的 Telegram 帖子和截图的分析表明,语言设置和地理定位元数据表明,该应用与土耳其开发者之间存在密切联系。

新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户
宣传 DroidBot Cleafy 的广告

DroidBot 在 Android 恶意软件领域采用了多种常见和不常见的技术。

  • 该恶意软件在安装过程中请求辅助功能服务权限,从而可以拦截用户输入、控制屏幕并执行覆盖攻击。
  • MQTT 协议在 Android 恶意软件中很少见,它用于 C2 通信,可以实现隐秘而高效的数据传输。
  • 通过加密的 Base64 消息动态更新检索 C2 服务器详细信息,以增强适应性和抵御删除的能力。

为了减轻 DroidBot 的风险,用户应避免侧载应用程序,只安装来自 Google Play 商店的应用程序。

此外,除非应用程序功能需要,否则用户应拒绝访问权限。

最后,用户应确保 Google Play Protect 始终在其设备上运行。

Android 的默认反恶意软件工具会不断更新新的病毒定义,并且能够检测和阻止 DroidBot 等威胁。

原文始发于微信公众号(网络研究观):新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月5日21:05:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户https://cn-sec.com/archives/3469422.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息