Datzbro Banking Trojan

חוקרי סייבר חשפו לאחרונה טרויאני בנקאות אנדרואיד בשם Datzbro, שלא תועד בעבר, שנועד לבצע התקפות השתלטות על מכשירים (DTO) ולבצע עסקאות פיננסיות הונאה. הנוזקה מכוונת בעיקר למשתמשים קשישים, ומנצלת את אמונם באמצעות קמפיינים של הנדסה חברתית מבוססי מדיה חברתית.

הנדסה חברתית באמצעות קבוצות פייסבוק

הקמפיין זוהה לראשונה באוגוסט 2025 לאחר דיווחים ממשתמשים אוסטרלים. גורמי איום ניהלו קבוצות פייסבוק שקידמו "טיולי קשישים פעילים", וכיוונו לקשישים המעוניינים בפעילויות חברתיות, אירועים ומפגשים פנים אל פנים. אזורים נוספים שנפגעו כוללים את סינגפור, מלזיה, קנדה, דרום אפריקה ובריטניה.

קבוצות פייסבוק אלו משתפות לעתים קרובות תוכן שנוצר על ידי בינה מלאכותית, בטענה שהן מארגנות אירועים לבני הגיל השלישי. אם מטרה מביעה עניין, התוקפים פונים אליה דרך פייסבוק מסנג'ר או וואטסאפ, ומעודדים אותה להוריד קובץ APK מקישור הונאה (למשל, download.seniorgroupapps.com).

האתרים המזויפים מקדמים אפליקציית קהילה כביכול, בטענה שהיא תאפשר לקשישים:

• הרשמה לאירועים ופעילויות.
• התחברו עם חברי קבוצה אחרים.
• מעקב אחר לוחות זמנים עתידיים.

חלק מהאתרים אף מכילים קישורי placeholder עבור אפליקציית iOS, מה שמרמז על כך שהתוקפים שואפים לכוון למשתמשי אנדרואיד ו-iOS כאחד, על ידי הפצת אפליקציות TestFlight עבור iOS בניסיון להערים על הקורבנות.

כיצד Datzbro מדביק מכשירים

כאשר קורבן מוריד את אפליקציית האנדרואיד, הוא:

• מתקין את התוכנה הזדונית ישירות על המכשיר, או
• פורס טפטפת שנוצרה באמצעות Zombinder, שירות קשירת APK שעוקף מגבלות אבטחה באנדרואיד 13 ואילך.

מספר אפליקציות זדוניות זוהו המפיצות את Datzbro, ביניהן:

• קבוצת גיל הזהב (twzlibwr.rlrkvsdw.bcfwgozi)
• שנים תוססות (orgLivelyYears.browses646)
• אקטיב סניור (com.forest481.security)
• דאנסווייב (inedpnok.kfxuvnie.mggfqzhl)
• 作业帮 (io.mobile.Itool)

• 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)

• 麻豆传媒 (mobi.audio.aassistant)

• 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)

• MT管理器 (varuhphk.vadneozj.tltldo)

• MT管理器 (spvojpr.bkkhxobj.twfwf)

• 大麦 (mnamrdrefa.edldylo.zish)

• MT管理器 (io.red.studio.tracker)

יכולות ואיומים פיננסיים

לדאצברו מגוון רחב של פונקציות של תוכנות ריגול והונאות פיננסיות, כולל:

• הקלטת אודיו וצילום תמונות.
• גישה לקבצים ותמונות.
• ביצוע מתקפות שכבת-על, רישום מקשים ושליטה מרחוק במכשירים.
• שימוש בשירותי נגישות של אנדרואיד לביצוע פעולות אוטומטיות מטעם הקורבן.

מאפיין בולט הוא מצב שליטה מרחוק סכמטי, אשר שולח מידע מפורט על כל רכיבי המסך, מיקומם ותוכנם לתוקפים. זה מאפשר להם לשכפל את הממשק ולשלוט באופן מלא במכשיר מרחוק.

בנוסף, דצברו יכולה:

• הצג שכבות שקופות למחצה עם טקסט מותאם אישית כדי להסתיר פעילות זדונית.
• גניבת קוד סודי וסיסמאות של מסך נעילת המכשיר עבור Alipay ו-WeChat.
• סרוק יומני אירועי נגישות עבור אפליקציות בנקאיות או ארנקי מטבעות קריפטוגרפיים וחלץ אישורים.

פונקציות אלו מדגישות את המיקוד של התוכנה הזדונית ברווח כספי, והופכות את מה שמתחיל כתוכנת ריגול לאיום מתוחכם לגניבת מידע בנקאי רגיש.

תשתית ייחוס ופיקוד ובקרה

ניתוח מצביע על כך ש-Datzbro מקושר לקבוצת איומים דוברת סינית, כפי שמעידים ניפוי שגיאות ורישום בשפה הסינית בקוד המקור של התוכנה הזדונית. בניגוד למשפחות תוכנות זדוניות רבות המסתמכות על פאנלים מבוססי-אינטרנט של C2, Datzbro מתחברת לאפליקציית שולחן עבודה בשפה הסינית לפעולות שליטה ובקרה.

גרסה מקומפלת של אפליקציית C2 זו דלפה למאגר וירוסים ציבורי, דבר המצביע על כך שהתוכנה הזדונית עשויה להיות מופצת באופן חופשי בקרב פושעי סייבר, מה שמגדיל את פוטנציאל ההשפעה שלה.

השלכות על אבטחה ניידת

התגלית של דצברו ממחישה את התפתחותם של איומים ניידים, במיוחד אלו המנצלים הנדסה חברתית כדי למקד אוכלוסיות פגיעות. על ידי התמקדות בקשישים ומינוף אירועי פייסבוק לכאורה שפירים, תוקפים יכולים להסלים אינטראקציה חברתית פשוטה להשתלטות על מכשירים, גניבת אישורים והונאה פיננסית.

קמפיין זה מדגיש את חשיבות הערנות באבטחת מובייל, במיוחד עבור משתמשים קשישים אשר עלולים להיות מטרה לפגיעה באמצעות רשתות חברתיות מבוססות אמון.