بدافزار DroidBot Mobile

یک تهدید جدید و دردسرساز بانکی اندروید، معروف به DroidBot، با هدف قرار دادن صرافی‌های ارزهای دیجیتال و اپلیکیشن‌های بانکی در بریتانیا، ایتالیا، فرانسه، اسپانیا و پرتغال موج‌هایی را ایجاد می‌کند. DroidBot که ابتدا توسط محققان امنیت سایبری در ژوئن 2024 کشف شد، به عنوان یک پلتفرم Malware-as-a-Service (MaaS) عمل می کند و قابلیت های مخرب خود را با پرداخت 3000 دلار در ماه به شرکت های وابسته ارائه می دهد.

علیرغم نداشتن ویژگی های پیشگامانه، استفاده گسترده و عملکرد DroidBot آن را به یک نگرانی مهم تبدیل کرده است. تجزیه و تحلیل یکی از بات نت های آن 776 عفونت منحصر به فرد را در کشورهای مختلف اروپایی از جمله ترکیه و آلمان نشان داد. این بدافزار همچنین نشانه هایی از گسترش به مناطق جدید مانند آمریکای لاتین را نشان می دهد.

چگونه DroidBot MaaS مجرمان سایبری را قدرتمند می کند

توسعه دهندگان DroidBot که گفته می شود در ترکیه مستقر هستند، یک پلتفرم MaaS ایجاد کرده اند که موانع را برای مجرمان سایبری برای اجرای حملات پیچیده کاهش می دهد. شرکت‌های وابسته به مجموعه‌ای از ابزارها دسترسی پیدا می‌کنند، از جمله:

• یک سازنده بدافزار برای سفارشی کردن بارها برای اهداف خاص.
• سرورهای Command-and-Control (C2) برای مدیریت عملیات.
• یک پنل مدیریت مرکزی برای بازیابی داده های برداشت شده و صدور دستورات.

محققان 17 گروه وابسته را با استفاده از DroidBot شناسایی کرده اند که همگی بر روی زیرساخت مشترک C2 با شناسه های منحصر به فرد برای ردیابی فعالیت ها کار می کنند. شرکت‌های وابسته اسناد گسترده، پشتیبانی و به‌روزرسانی‌های منظم را از طریق کانال تلگرام دریافت می‌کنند و سیستمی کم تلاش و با پاداش بالا برای مهاجمان ایجاد می‌کنند.

پنهان کاری و فریب: مبدل های DroidBot

برای نفوذ به دستگاه‌های کاربر، DroidBot اغلب به عنوان برنامه‌های قانونی از جمله Google Chrome، فروشگاه Google Play یا حتی سرویس‌های امنیتی Android ظاهر می‌شود. پس از نصب، به عنوان یک تروجان عمل می کند و اطلاعات حساس را از برنامه های هدفمند جمع آوری می کند.

ویژگی های اصلی آن مهاجمان را قادر می سازد تا طیف وسیعی از فعالیت های مخرب را اجرا کنند، مانند:

• Keylogging : ضبط تمام ضربه های کلید وارد شده بر روی دستگاه آلوده.
• حملات همپوشانی : نمایش صفحات ورود جعلی بر روی رابط های برنامه قانونی برای جمع آوری اعتبار.
• رهگیری پیامک : ربودن پیام‌های SMS، به‌ویژه پیام‌هایی که حاوی OTP برای ورود به سیستم بانکی هستند.

بهره برداری از خدمات دسترسی

DroidBot به شدت به خدمات دسترس‌پذیری اندروید متکی است، قابلیتی که برای کمک به کاربران دارای معلولیت در نظارت بر اقدامات و تند کشیدن‌ها یا ضربه‌های شبیه‌سازی شده طراحی شده است. این استفاده نادرست بر اهمیت بررسی دقیق برنامه هایی که در حین نصب درخواست مجوزهای غیرمعمول می کنند، تأکید می کند. اگر برنامه‌ای بدون هدف مشخص درخواست دسترسی به خدمات دسترس‌پذیری کند، کاربران باید فوراً درخواست را رد کرده و در صورت لزوم برنامه را حذف نصب کنند.

اهداف با ارزش بالا: برنامه های بانکی و رمزنگاری

دامنه دسترسی DroidBot به 77 برنامه کاربردی ارزهای دیجیتال و بانکی معروف است. برخی از اهداف قابل توجه عبارتند از:

• صرافی های ارزهای دیجیتال: بایننس، کوکوین و کراکن.
• برنامه های بانکی: BBVA، Unicredit، Santander، BNP Paribas و Credit Agricole.
• کیف پول دیجیتال: متاماسک.

این برنامه ها داده های مالی حساس را در خود جای می دهند و آنها را به اهداف اصلی مجرمان سایبری تبدیل می کنند.

چگونه محافظت بمانیم

کاهش تهدیدهایی مانند DroidBot نیاز به یک رویکرد فعال دارد:

• به منابع رسمی پایبند باشید : فقط برنامه ها را از فروشگاه Google Play دانلود کنید.
• مجوزهای بازبینی : در مورد درخواست‌های مجوز غیرعادی، به‌ویژه درخواست‌های مربوط به سرویس‌های دسترسی، هوشیار باشید.
• فعال کردن Play Protect : مطمئن شوید که این ویژگی امنیتی در دستگاه Android شما فعال است.

با اتخاذ این شیوه ها، کاربران می توانند به میزان قابل توجهی قرار گرفتن در معرض تهدیداتی مانند DroidBot را کاهش دهند و کنترل روی داده های حساس خود را حفظ کنند. همانطور که DroidBot به تکامل و گسترش دامنه خود ادامه می دهد، آگاه ماندن و محتاط ماندن در دفاع در برابر تاکتیک های فریبنده آن حیاتی است.