Cleafy 的网络安全研究人员发现了一种名为 DroidBot 的复杂新型 Android 远程访问木马 (RAT)。
DroidBot 于 2024 年 10 月下旬首次被发现,活动痕迹可追溯到 6 月,它是一种恶意软件即服务 (MaaS) 操作,为针对欧洲各地金融和政府机构的监视和欺诈提供高级工具。
Cleafy 的威胁情报和研究 (TIR) 团队在调查利用 Android 设备的恶意软件活动时发现了DroidBot,并发现新变种与现有恶意软件家族没有确认的联系。
DroidBot 这个名字源自与其操作关联的域。
DroidBot 的主要特点包括:
- 1.隐藏的 VNC 和覆盖攻击允许实时远程控制和拦截敏感用户凭据。
- 2.通过键盘记录和监控来捕获用户交互,以窃取凭证。
- 3.双重通信通道,MQTT 用于数据泄露,HTTPS 用于接收命令,增强了其操作灵活性和弹性。
研究人员确定了 77 个目标,包括英国、法国、意大利、西班牙和葡萄牙的银行、加密货币交易所和政府组织。
该恶意软件仍在不断发展,样本中的占位符函数和不同程度的混淆就是明证。
DroidBot 还利用侧载技术来感染设备,通常伪装成 Google Play Store 或 Chrome 等合法应用程序。
恶意软件即服务模式
DroidBot 是一个 MaaS 平台,其创建者向关联公司出售访问权限。
这些关联公司使用恶意软件开展活动,这些活动由专用基础设施提供便利。
Cleafy 在 DroidBot 样本中发现了 17 个不同的附属团体,这些团体具有指向多个运营商的唯一标识符,其中一些运营商共享相同的基础设施。
附属团体获得了一个构建器工具,使他们能够针对特定目标自定义恶意软件。
该操作还提供了一个命令和控制 (C2) 面板,附属团体可以通过集中式仪表板执行远程设备控制、凭证收集和注入攻击。
DroidBot 的创建者在俄语论坛上做广告,以每月 3,000 美元的价格宣传自动传输系统 (ATS) 和远程设备控制等功能。
对泄露的 Telegram 帖子和截图的分析表明,语言设置和地理定位元数据表明,该应用与土耳其开发者之间存在密切联系。
DroidBot 在 Android 恶意软件领域采用了多种常见和不常见的技术。
- 该恶意软件在安装过程中请求辅助功能服务权限,从而可以拦截用户输入、控制屏幕并执行覆盖攻击。
- MQTT 协议在 Android 恶意软件中很少见,它用于 C2 通信,可以实现隐秘而高效的数据传输。
- 通过加密的 Base64 消息动态更新检索 C2 服务器详细信息,以增强适应性和抵御删除的能力。
为了减轻 DroidBot 的风险,用户应避免侧载应用程序,只安装来自 Google Play 商店的应用程序。
此外,除非应用程序功能需要,否则用户应拒绝访问权限。
最后,用户应确保 Google Play Protect 始终在其设备上运行。
Android 的默认反恶意软件工具会不断更新新的病毒定义,并且能够检测和阻止 DroidBot 等威胁。
原文始发于微信公众号(网络研究观):新型 Android 恶意软件 DroidBot 瞄准欧洲银行用户
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论