Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware DroidBot mobiele malware

DroidBot mobiele malware

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:
Nederlands

Een nieuwe en verontrustende Android-bankbedreiging, bekend als DroidBot, maakt golven door cryptocurrency-beurzen en bank-apps in het VK, Italië, Frankrijk, Spanje en Portugal aan te vallen. DroidBot werd in juni 2024 voor het eerst ontdekt door cybersecurity-onderzoekers en opereert als een Malware-as-a-Service (MaaS)-platform, dat zijn kwaadaardige mogelijkheden aanbiedt aan affiliates voor een stevige $ 3.000 per maand.

Ondanks het ontbreken van baanbrekende functies, maken het wijdverbreide gebruik en de functionaliteit van DroidBot het een belangrijke zorg. Een analyse van een van zijn botnets onthulde 776 unieke infecties in verschillende Europese landen, waaronder Turkije en Duitsland. De malware vertoont ook tekenen van uitbreiding naar nieuwe regio's, zoals Latijns-Amerika.

Hoe DroidBot MaaS cybercriminelen meer macht geeft

De ontwikkelaars van DroidBot, waarvan men denkt dat ze in Turkije gevestigd zijn, hebben een MaaS-platform gecreëerd dat de drempels verlaagt voor cybercriminelen om geavanceerde aanvallen uit te voeren. Affiliates krijgen toegang tot een uitgebreide reeks tools, waaronder:

  • Een malwarebouwer waarmee u payloads kunt aanpassen voor specifieke doelen.
  • Command-and-Control (C2)-servers voor het beheer van operaties.
  • Een centraal administratiepaneel voor het ophalen van verzamelde gegevens en het geven van opdrachten.

Onderzoekers hebben 17 affiliate groepen geïdentificeerd die DroidBot gebruiken, die allemaal werken op een gedeelde C2-infrastructuur met unieke identifiers om activiteiten te volgen. Affiliates ontvangen uitgebreide documentatie, ondersteuning en regelmatige updates via een Telegram-kanaal, wat een systeem met weinig moeite en hoge beloningen voor aanvallers creëert.

Stealth en bedrog: DroidBot’s vermommingen

Om gebruikersapparaten te infiltreren, doet DroidBot zich vaak voor als legitieme apps, waaronder Google Chrome, de Google Play Store of zelfs Android Security-services. Eenmaal geïnstalleerd, werkt het als een Trojaans paard dat gevoelige informatie van gerichte applicaties verzamelt.

Dankzij de belangrijkste functies kunnen aanvallers allerlei schadelijke activiteiten uitvoeren, zoals:

  • Keylogging : alle toetsaanslagen op het geïnfecteerde apparaat vastleggen.
  • Overlay-aanvallen : het weergeven van nep-inlogschermen over legitieme app-interfaces om inloggegevens te verzamelen.
  • SMS-onderschepping : het kapen van SMS-berichten, met name berichten die eenmalige wachtwoorden voor bankaanmeldingen bevatten.
  • Bediening van apparaten op afstand : Met behulp van een Virtual Network Computing (VNC)-module kunnen partners op afstand geïnfecteerde apparaten bekijken en bedienen, opdrachten uitvoeren en hun acties verbergen door het scherm te verduisteren.

Exploiteren van toegankelijkheidsdiensten

DroidBot is sterk afhankelijk van Android's Accessibility Services, een functie die is ontworpen om gebruikers met een beperking te helpen bij het monitoren van acties en gesimuleerde swipes of tikken. Dit misbruik onderstreept het belang van het onderzoeken van apps die ongebruikelijke toestemmingen vragen tijdens de installatie. Als een applicatie vraagt om toegang tot Accessibility Services zonder een duidelijk doel, moeten gebruikers het verzoek onmiddellijk weigeren en de app indien nodig verwijderen.

Hoogwaardige doelen: bank- en cryptotoepassingen

Het bereik van DroidBot strekt zich uit tot 77 spraakmakende cryptocurrency- en bankapplicaties. Enkele opvallende doelen zijn:

  • Cryptovalutabeurzen: Binance, KuCoin en Kraken.
  • Banktoepassingen: BBVA, Unicredit, Santander, BNP Paribas en Credit Agricole.
  • Digitale portemonnees: Metamask.

Deze applicaties bevatten gevoelige financiële gegevens en zijn daardoor een geliefd doelwit voor cybercriminelen.

Hoe u beschermd blijft

Om bedreigingen zoals DroidBot tegen te gaan, is een proactieve aanpak nodig:

  • Kies alleen officiële bronnen : download alleen apps uit de Google Play Store.
  • Controleer machtigingen : wees waakzaam voor ongebruikelijke machtigingsverzoeken, vooral die met betrekking tot toegankelijkheidsservices.
  • Play Protect activeren : zorg ervoor dat deze beveiligingsfunctie is ingeschakeld op uw Android-apparaat.

Door deze praktijken te hanteren, kunnen gebruikers hun blootstelling aan bedreigingen zoals DroidBot aanzienlijk verminderen en de controle over hun gevoelige gegevens behouden. Terwijl DroidBot zich blijft ontwikkelen en zijn bereik uitbreidt, blijft geïnformeerd en voorzichtig blijven cruciaal om zich te verdedigen tegen zijn misleidende tactieken.

Trending

Meest bekeken

Bezig met laden...