Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware Datzbro Banking Trojan

Datzbro Banking Trojan

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Cybersecurityonderzoekers hebben onlangs een eerder niet-gedocumenteerde Android banking trojan ontdekt, genaamd Datzbro, die is ontworpen om apparaatovernames (DTO) uit te voeren en frauduleuze financiële transacties uit te voeren. De malware richt zich voornamelijk op oudere gebruikers en misbruikt hun vertrouwen via social engineering-campagnes op sociale media.

Social engineering via Facebook-groepen

De campagne werd voor het eerst ontdekt in augustus 2025 na meldingen van Australische gebruikers. Criminelen beheerden Facebookgroepen die 'actieve seniorenreizen' promootten en zich richtten op ouderen die geïnteresseerd waren in sociale activiteiten, evenementen en persoonlijke bijeenkomsten. Andere getroffen regio's zijn Singapore, Maleisië, Canada, Zuid-Afrika en het Verenigd Koninkrijk.

Deze Facebookgroepen delen regelmatig door AI gegenereerde content en beweren evenementen voor senioren te organiseren. Als een doelwit interesse toont, benaderen aanvallers hen via Facebook Messenger of WhatsApp en vragen hen een APK-bestand te downloaden via een frauduleuze link (bijvoorbeeld download.seniorgroupapps.com).

De nepwebsites promoten een zogenaamde community-applicatie en beweren dat senioren hiermee het volgende kunnen doen:

  • Registreer u voor evenementen en activiteiten.
  • Maak contact met andere groepsleden.
  • Houd de komende schema's bij.

Sommige sites bevatten zelfs tijdelijke links voor een iOS-app, wat suggereert dat de aanvallers zowel Android- als iOS-gebruikers als doelwit hebben en TestFlight-apps voor iOS verspreiden in een poging slachtoffers te misleiden.

Hoe Datzbro apparaten infecteert

Wanneer een slachtoffer de Android-app downloadt, gebeurt het volgende:

  • Installeert de malware rechtstreeks op het apparaat, of
  • Implementeert een dropper die is gemaakt met Zombinder, een APK-bindingsservice die beveiligingsbeperkingen op Android 13 en hoger omzeilt.

Er zijn verschillende schadelijke apps geïdentificeerd die Datzbro verspreiden, waaronder:

  • Seniorengroep (twzlibwr.rlrkvsdw.bcfwgozi)
  • Levendige Jaren (orgLivelyYears.browses646)
  • Actieve Senior (com.forest481.security)
  • DanceWave (inedpnok.kfxuvnie.mggfqzhl)
  • 作业帮 (io.mobile.Itool)
  • 麻豆传媒(fsxhibqhbh.hlyzqkd.aois)
  • 麻豆传媒 (mobi.audio.aassistant)
  • 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
  • MT管理器 (varuhphk.vadneozj.tltldo)
  • MT管理器 (spvojpr.bkkhxobj.twfwf)
  • 大麦 (mnamrdrefa.edldylo.zish)
  • MT管理器 (io.red.studio.tracker)

    • Capaciteiten en financiële bedreigingen

    Datzbro beschikt over een breed scala aan spyware en functionaliteiten voor financiële fraude, waaronder:

    • Audio opnemen en foto's maken.
    • Toegang tot bestanden en foto's.
    • Het uitvoeren van overlay-aanvallen, keylogging en besturing van apparaten op afstand.
    • Android-toegankelijkheidsservices gebruiken om geautomatiseerde acties uit te voeren namens het slachtoffer.

    Een opvallende functie is de schematische afstandsbedieningsmodus, die gedetailleerde informatie over alle schermelementen, hun positie en inhoud naar de aanvallers stuurt. Dit stelt hen in staat de interface te repliceren en het apparaat volledig op afstand te bedienen.

    Bovendien kan Datzbro:

    • Toon semi-transparante overlays met aangepaste tekst om schadelijke activiteiten te verbergen.
    • Steel pincodes en wachtwoorden van het vergrendelscherm van apparaten voor Alipay en WeChat.
    • Scan toegankelijkheidsgebeurtenislogboeken voor bank- of cryptocurrency-wallet-apps en extraheer inloggegevens.

    Deze functies benadrukken de focus van de malware op financieel gewin. Wat begint als spyware, verandert zo in een geavanceerde bedreiging voor het stelen van gevoelige bankgegevens.

    Attributie- en commando- en controle-infrastructuur

    Analyse suggereert dat Datzbro gelinkt is aan een Chineestalige dreigingsgroep, zoals blijkt uit Chinese debug- en logstrings in de broncode van de malware. In tegenstelling tot veel malwarefamilies die afhankelijk zijn van webgebaseerde C2-panels, maakt Datzbro verbinding met een Chineestalige desktopapplicatie voor command-and-control-bewerkingen.

    Een gecompileerde versie van deze C2-app is gelekt naar een openbare virusdatabase, wat erop wijst dat de malware nu mogelijk vrijelijk wordt verspreid onder cybercriminelen, waardoor het potentiële bereik ervan toeneemt.

    Implicaties voor mobiele beveiliging

    De ontdekking van Datzbro illustreert de evolutie van mobiele bedreigingen, met name die welke social engineering gebruiken om kwetsbare groepen aan te vallen. Door zich te richten op senioren en gebruik te maken van ogenschijnlijk onschuldige Facebook-evenementen, kunnen aanvallers een simpele sociale interactie laten uitgroeien tot apparaatovername, diefstal van inloggegevens en financiële fraude.

    Deze campagne benadrukt het belang van waakzaamheid op het gebied van mobiele beveiliging, met name voor oudere gebruikers die het doelwit kunnen worden van aanvallen via op vertrouwen gebaseerde sociale netwerken.

    Trending

    Meest bekeken

    Bezig met laden...