DroidBot mobil malware
En ny og bekymrende Android-banktrussel, kendt som DroidBot, laver bølger ved at målrette kryptovalutabørser og bankapps i Storbritannien, Italien, Frankrig, Spanien og Portugal. DroidBot, som oprindeligt blev afsløret af cybersikkerhedsforskere i juni 2024, fungerer som en Malware-as-a-Service (MaaS) platform, der tilbyder sine ondsindede funktioner til tilknyttede virksomheder for en heftig $3.000 om måneden.
På trods af manglende banebrydende funktioner gør DroidBots udbredte brug og funktionalitet det til en betydelig bekymring. En analyse af et af dets botnets afslørede 776 unikke infektioner på tværs af forskellige europæiske lande, herunder Tyrkiet og Tyskland. Malwaren viser også tegn på ekspansion til nye regioner, såsom Latinamerika.
Indholdsfortegnelse
Hvordan DroidBot MaaS styrker cyberkriminelle
DroidBots udviklere, der menes at være baseret i Tyrkiet, har skabt en MaaS-platform, der sænker barriererne for cyberkriminelle til at udføre sofistikerede angreb. Tilknyttede virksomheder får adgang til en omfattende pakke af værktøjer, herunder:
- En malware-bygger til at tilpasse nyttelast til specifikke mål.
- Command-and-Control (C2) servere til styring af operationer.
- Et centralt administrationspanel til at hente høstede data og udstede kommandoer.
Forskere har identificeret 17 tilknyttede grupper ved hjælp af DroidBot, som alle opererer på delt C2-infrastruktur med unikke identifikatorer til at spore aktiviteter. Tilknyttede selskaber modtager omfattende dokumentation, support og regelmæssige opdateringer via en Telegram-kanal, hvilket skaber et system med lav indsats og høj belønning for angribere.
Stealth and Deception: DroidBot's Disguises
For at infiltrere brugerenheder, udgiver DroidBot sig ofte som legitime apps, inklusive Google Chrome, Google Play Butik eller endda Android Security-tjenester. Når den er installeret, fungerer den som en trojaner, der høster følsomme oplysninger fra målrettede applikationer.
Dens kernefunktioner gør det muligt for angribere at udføre en række ondsindede aktiviteter, såsom:
- Tastelogning : Indfanger alle tastetryk indtastet på den inficerede enhed.
- Overlejringsangreb : Viser falske login-skærme over legitime app-grænseflader for at høste legitimationsoplysninger.
- SMS-aflytning : Kapring af SMS-beskeder, især dem, der indeholder OTP'er til banklogin.
Udnyttelse af tilgængelighedstjenester
DroidBot er stærkt afhængig af Androids Accessibility Services, en funktion designet til at hjælpe brugere med handicap med at overvåge handlinger og simulerede swipes eller tryk. Dette misbrug understreger vigtigheden af at undersøge apps, der anmoder om usædvanlige tilladelser under installationen. Hvis en applikation anmoder om adgang til tilgængelighedstjenester uden et klart formål, skal brugere straks afvise anmodningen og om nødvendigt afinstallere appen.
Højværdimål: Bank- og kryptoapplikationer
DroidBots rækkevidde strækker sig til 77 højprofilerede cryptocurrency- og bankapplikationer. Nogle bemærkelsesværdige mål inkluderer:
- Cryptocurrency Exchanges: Binance, KuCoin og Kraken.
- Bankapplikationer: BBVA, Unicredit, Santander, BNP Paribas og Credit Agricole.
- Digitale tegnebøger: Metamask.
Disse applikationer rummer følsomme økonomiske data, hvilket gør dem til primære mål for cyberkriminelle.
Sådan forbliver du beskyttet
Afbødning af trusler som DroidBot kræver en proaktiv tilgang:
- Hold dig til officielle kilder : Download kun apps fra Google Play Butik.
- Gennemgå tilladelser : Vær opmærksom på usædvanlige anmodninger om tilladelser, især dem, der involverer tilgængelighedstjenester.
- Aktiver Play Protect : Sørg for, at denne sikkerhedsfunktion er aktiveret på din Android-enhed.
Ved at vedtage denne praksis kan brugere reducere deres eksponering for trusler som DroidBot betydeligt og bevare kontrollen over deres følsomme data. Efterhånden som DroidBot fortsætter med at udvikle sig og udvide sin rækkevidde, er det vigtigt at holde sig informeret og forsigtigt i forsvaret mod dets vildledende taktik.
