DroidBot Mobile Malware
Nová a znepokojivá hrozba bankovnictví pro Android, známá jako DroidBot, dělá vlny tím, že se zaměřuje na burzy kryptoměn a bankovní aplikace ve Spojeném království, Itálii, Francii, Španělsku a Portugalsku. DroidBot, který byl původně odhalen výzkumníky v oblasti kybernetické bezpečnosti v červnu 2024, funguje jako platforma Malware-as-a-Service (MaaS), která nabízí své škodlivé funkce přidruženým společnostem za statných 3 000 $ měsíčně.
Navzdory tomu, že DroidBot postrádá převratné funkce, jeho rozšířené používání a funkčnost z něj činí významný problém. Analýza jednoho z jejích botnetů odhalila 776 unikátních infekcí v různých evropských zemích, včetně Turecka a Německa. Malware také vykazuje známky expanze do nových regionů, jako je Latinská Amerika.
Obsah
Jak DroidBot MaaS posiluje kyberzločince
Vývojáři DroidBot, o kterých se předpokládá, že sídlí v Turecku, vytvořili platformu MaaS, která snižuje bariéry pro kyberzločince při provádění sofistikovaných útoků. Přidružené společnosti získají přístup ke komplexní sadě nástrojů, včetně:
- Tvůrce malwaru pro přizpůsobení užitečného zatížení pro konkrétní cíle.
- Servery Command-and-Control (C2) pro správu operací.
- Centrální administrační panel pro získávání sklizených dat a vydávání příkazů.
Výzkumníci identifikovali 17 přidružených skupin používajících DroidBot, z nichž všechny fungují na sdílené C2 infrastruktuře s jedinečnými identifikátory pro sledování aktivit. Přidružené společnosti dostávají rozsáhlou dokumentaci, podporu a pravidelné aktualizace prostřednictvím kanálu Telegram, čímž vytvářejí systém s nízkou námahou a vysokou odměnou pro útočníky.
Stealth and Deception: DroidBot's Disguses
Aby DroidBot infiltroval uživatelská zařízení, často se vydává za legitimní aplikace, včetně Google Chrome, Google Play Store nebo dokonce služeb Android Security. Po instalaci funguje jako trojský kůň a sbírá citlivé informace z cílených aplikací.
Jeho základní funkce umožňují útočníkům provádět řadu škodlivých činností, jako jsou:
- Keylogging : Zachycení všech úhozů zadaných na infikovaném zařízení.
- Overlay Attacks : Zobrazování falešných přihlašovacích obrazovek přes legitimní rozhraní aplikací za účelem získávání přihlašovacích údajů.
- Zachycování SMS : Únos SMS zpráv, zejména těch, které obsahují jednorázová hesla pro přihlášení do bankovnictví.
Využívání služeb usnadnění
DroidBot silně spoléhá na služby usnadnění přístupu Android, což je funkce navržená tak, aby pomáhala uživatelům se zdravotním postižením při monitorování akcí a simulovaných přejetí nebo klepnutí. Toto zneužití podtrhuje důležitost prověřování aplikací, které během instalace vyžadují neobvyklá oprávnění. Pokud aplikace požádá o přístup ke službám usnadnění bez jasného účelu, uživatelé by měli žádost okamžitě odmítnout a v případě potřeby aplikaci odinstalovat.
Vysoce hodnotné cíle: bankovnictví a krypto aplikace
Dosah DroidBot se rozšiřuje na 77 vysoce profilovaných kryptoměnových a bankovních aplikací. Mezi některé pozoruhodné cíle patří:
- Směnárny kryptoměn: Binance, KuCoin a Kraken.
- Bankovní aplikace: BBVA, Unicredit, Santander, BNP Paribas a Credit Agricole.
- Digitální peněženky: Metamask.
Tyto aplikace obsahují citlivá finanční data, což z nich dělá hlavní cíle pro kyberzločince.
Jak zůstat chráněni
Zmírnění hrozeb, jako je DroidBot, vyžaduje proaktivní přístup:
- Držte se oficiálních zdrojů : Stahujte aplikace pouze z obchodu Google Play.
- Kontrola oprávnění : Buďte ostražití ohledně neobvyklých požadavků na povolení, zejména těch, které se týkají služeb usnadnění.
- Aktivovat Play Protect : Ujistěte se, že je tato funkce zabezpečení na vašem zařízení Android povolena.
Přijetím těchto postupů mohou uživatelé výrazně snížit své vystavení hrozbám, jako je DroidBot, a udržet si kontrolu nad svými citlivými daty. Jak se DroidBot neustále vyvíjí a rozšiřuje svůj dosah, zůstat informovaný a opatrný zůstává zásadní při obraně proti jeho klamavým taktikám.
