תוכנה זדונית ניידת של DroidBot

איום בנקאי אנדרואיד חדש ומטריד, המכונה DroidBot, מכה גלים על ידי מיקוד לבורסות מטבעות קריפטוגרפיים ואפליקציות בנקאות בבריטניה, איטליה, צרפת, ספרד ופורטוגל. DroidBot, שנחשף לראשונה על ידי חוקרי אבטחת סייבר ביוני 2024, פועל כפלטפורמת Malware-as-a-Service (MaaS), ומציע את היכולות הזדוניות שלה לשותפים תמורת $3,000 נכבדים לחודש.

למרות היעדר תכונות פורצות דרך, השימוש והפונקציונליות הנרחבים של DroidBot הופכים אותו לדאגה משמעותית. ניתוח של אחד מרשתות הבוט שלה חשף 776 זיהומים ייחודיים במדינות שונות באירופה, כולל טורקיה וגרמניה. התוכנה הזדונית מראה גם סימנים של התרחבות לאזורים חדשים, כמו אמריקה הלטינית.

כיצד DroidBot MaaS מעצים פושעי סייבר

המפתחים של DroidBot, שלדעתם ממוקמים בטורקיה, יצרו פלטפורמת MaaS המורידה את המחסומים בפני פושעי סייבר לבצע התקפות מתוחכמות. השותפים מקבלים גישה לחבילה מקיפה של כלים, כולל:

• בונה תוכנות זדוניות להתאמה אישית של עומסים עבור יעדים ספציפיים.
• שרתי Command-and-Control (C2) לניהול פעולות.
• פאנל ניהול מרכזי לאחזור נתונים שנאספו והנפקת פקודות.

חוקרים זיהו 17 קבוצות שותפים באמצעות DroidBot, כולן פועלות על תשתית C2 משותפת עם מזהים ייחודיים למעקב אחר פעילויות. השותפים מקבלים תיעוד מקיף, תמיכה ועדכונים שוטפים דרך ערוץ טלגרם, ויוצרים מערכת במאמץ נמוך ותגמול גבוה לתוקפים.

התגנבות והונאה: התחפושות של DroidBot

כדי לחדור למכשירי משתמשים, DroidBot מתחזה לעתים קרובות לאפליקציות לגיטימיות, כולל Google Chrome, חנות Google Play או אפילו שירותי אבטחה של אנדרואיד. לאחר ההתקנה, הוא פועל כטרויאני, אוסף מידע רגיש מיישומים ממוקדים.

תכונות הליבה שלו מאפשרות לתוקפים לבצע מגוון פעילויות זדוניות, כגון:

• רישום מקשים : לכידת כל הקשות המקשים שהוזנו במכשיר הנגוע.
• התקפות שכבת-על : הצגת מסכי התחברות מזויפים על פני ממשקי אפליקציות לגיטימיים כדי לאסוף אישורים.
• יירוט SMS : חטיפת הודעות SMS, במיוחד אלה המכילות OTP לכניסות בנקאיות.

ניצול שירותי נגישות

DroidBot מסתמך במידה רבה על שירותי הנגישות של אנדרואיד, תכונה שנועדה לסייע למשתמשים עם מוגבלויות במעקב אחר פעולות והחלקות או הקשות מדומה. שימוש לרעה זה מדגיש את החשיבות של בדיקה מדוקדקת של אפליקציות המבקשות הרשאות חריגות במהלך ההתקנה. אם אפליקציה מבקשת גישה לשירותי נגישות ללא מטרה ברורה, על המשתמשים לדחות מיד את הבקשה ולהסיר את ההתקנה של האפליקציה במידת הצורך.

יעדים בעלי ערך גבוה: יישומי בנקאות ויישומי קריפטו

טווח ההגעה של DroidBot מגיע ל-77 יישומי קריפטוגרפיים ובנקאות בעלי פרופיל גבוה. כמה יעדים בולטים כוללים:

• חילופי מטבעות קריפטו: Binance, KuCoin ו-Kraken.
• יישומים בנקאיים: BBVA, Unicredit, Santander, BNP Paribas ו- Credit Agricole.
• ארנקים דיגיטליים: Metamask.

יישומים אלה מכילים נתונים פיננסיים רגישים, מה שהופך אותם ליעדים עיקריים עבור פושעי סייבר.

איך להישאר מוגן

הפחתת איומים כמו DroidBot דורשת גישה פרואקטיבית:

• היצמד למקורות רשמיים : הורד רק אפליקציות מחנות Google Play.
• סקירת הרשאות : היו ערניים לגבי בקשות הרשאה חריגות, במיוחד אלו הכוללות שירותי נגישות.
• הפעל את Play Protect : ודא שתכונת אבטחה זו מופעלת במכשיר האנדרואיד שלך.

על ידי אימוץ שיטות אלה, משתמשים יכולים להפחית באופן משמעותי את החשיפה שלהם לאיומים כמו DroidBot ולשמור על שליטה על הנתונים הרגישים שלהם. ככל ש-DroidBot ממשיך להתפתח ולהרחיב את טווח ההגעה שלו, להישאר מעודכן וזהיר נשאר קריטי בהגנה מפני הטקטיקות המטעות שלו.