Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie Trojan bankowy Datzbro

Trojan bankowy Datzbro

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli niedawno nieudokumentowanego wcześniej trojana bankowego dla systemu Android o nazwie Datzbro, zaprojektowanego do przeprowadzania ataków przejęcia urządzenia (DTO) i przeprowadzania oszukańczych transakcji finansowych. Szkodliwe oprogramowanie atakuje głównie użytkowników starszych, wykorzystując ich zaufanie za pomocą kampanii socjotechnicznych w mediach społecznościowych.

Inżynieria społeczna za pośrednictwem grup na Facebooku

Kampania została po raz pierwszy wykryta w sierpniu 2025 roku po zgłoszeniach od australijskich użytkowników. Atakujący zarządzali grupami na Facebooku promującymi „aktywne wycieczki dla seniorów”, kierując je do osób starszych zainteresowanych aktywnością społeczną, wydarzeniami i spotkaniami osobistymi. Dotknięte regiony to również Singapur, Malezja, Kanada, Republika Południowej Afryki i Wielka Brytania.

Te grupy na Facebooku często udostępniają treści generowane przez sztuczną inteligencję, podszywając się pod organizację wydarzeń dla seniorów. Jeśli ofiara wyrazi zainteresowanie, atakujący kontaktują się z nią za pośrednictwem Facebook Messengera lub WhatsAppa, zachęcając do pobrania pliku APK z fałszywego linku (np. download.seniorgroupapps.com).

Fałszywe strony internetowe promują tzw. aplikację społecznościową, twierdząc, że umożliwia ona seniorom:

  • Zarejestruj się na wydarzenia i zajęcia.
  • Nawiąż kontakt z innymi członkami grupy.
  • Śledź nadchodzące harmonogramy.

Niektóre witryny zawierają nawet tymczasowe linki do aplikacji na system iOS, co sugeruje, że atakujący mają na celu zaatakowanie zarówno użytkowników Androida, jak i iOS, rozpowszechniając aplikacje TestFlight na iOS w celu oszukania ofiar.

Jak Datzbro infekuje urządzenia

Gdy ofiara pobiera aplikację na Androida, następuje jedno z następujących zdarzeń:

  • Instaluje złośliwe oprogramowanie bezpośrednio na urządzeniu lub
  • Wdraża dropper utworzony za pomocą Zombinder, usługi wiążącej APK, która omija ograniczenia bezpieczeństwa w systemie Android 13 i nowszych.

Zidentyfikowano kilka złośliwych aplikacji rozpowszechniających Datzbro, w tym:

  • Senior Group (twzlibwr.rlrkvsdw.bcfwgozi)
  • Żywe lata (orgLivelyYears.browses646)
  • ActiveSenior (com.forest481.security)
  • DanceWave (inedpnok.kfxuvnie.mggfqzhl)
  • 作业帮 (io.mobile.Itool)
  • 麻豆传媒 (fsxhibqhbh.hlyzqkd.aois)
  • 麻豆传媒 (mobi.audio.aassistant)
  • 谷歌浏览器 (tvmhnrvsp.zltixkpp.mdok)
  • MT管理器 (varuhphk.vadneozj.tltldo)
  • MT管理器 (spvojpr.bkkhxobj.twfwf)
  • 大麦 (mnamrdrefa.edldylo.zish)
  • MT管理器 (io.red.studio.tracker)

Możliwości i zagrożenia finansowe

Datzbro posiada szeroką gamę funkcji szpiegujących i umożliwiających oszustwa finansowe, w tym:

  • Nagrywanie dźwięku i robienie zdjęć.
  • Dostęp do plików i zdjęć.
  • Przeprowadzanie ataków typu overlay, keyloggerów i zdalnego sterowania urządzeniami.
  • Korzystanie z usług ułatwień dostępu Androida w celu wykonywania zautomatyzowanych działań w imieniu ofiary.

Cechą wyróżniającą jest schematyczny tryb zdalnego sterowania, który wysyła atakującym szczegółowe informacje o wszystkich elementach ekranu, ich położeniu i zawartości. Pozwala im to na replikację interfejsu i pełną zdalną kontrolę nad urządzeniem.

Dodatkowo Datzbro może:

  • Wyświetlaj półprzezroczyste nakładki z niestandardowym tekstem, aby ukryć złośliwą aktywność.
  • Ukradnij kody PIN i hasła do ekranu blokady urządzenia Alipay i WeChat.
  • Przeskanuj dzienniki zdarzeń dostępności aplikacji bankowych lub portfeli kryptowalut i wyodrębnij dane uwierzytelniające.

Funkcje te podkreślają, że celem złośliwego oprogramowania jest zysk finansowy, zmieniając coś, co zaczyna się jako oprogramowanie szpiegujące, w wyrafinowane zagrożenie mające na celu kradzież poufnych informacji bankowych.

Infrastruktura atrybucji i dowodzenia

Analiza sugeruje, że Datzbro jest powiązany z chińskojęzyczną grupą zagrożeń, o czym świadczą chińskie ciągi debugowania i logowania w kodzie źródłowym złośliwego oprogramowania. W przeciwieństwie do wielu rodzin złośliwego oprogramowania, które opierają się na internetowych panelach C2, Datzbro łączy się z chińskojęzyczną aplikacją komputerową w celu realizacji operacji dowodzenia i kontroli.

Skompilowana wersja aplikacji C2 wyciekła do publicznego repozytorium wirusów, co wskazuje, że to złośliwe oprogramowanie może być teraz swobodnie rozpowszechniane wśród cyberprzestępców, zwiększając jego potencjalny zasięg.

Konsekwencje dla bezpieczeństwa urządzeń mobilnych

Odkrycie Datzbro ilustruje ewolucję zagrożeń mobilnych, zwłaszcza tych wykorzystujących socjotechnikę do atakowania wrażliwych grup społecznych. Koncentrując się na osobach starszych i wykorzystując pozornie niegroźne zdarzenia na Facebooku, atakujący mogą przekształcić prostą interakcję społeczną w przejęcie urządzenia, kradzież danych uwierzytelniających i oszustwo finansowe.

Kampania ta podkreśla, jak ważne jest zachowanie czujności w kwestii bezpieczeństwa urządzeń mobilnych, zwłaszcza w przypadku użytkowników starszych, którzy mogą paść ofiarą ataków za pośrednictwem opartych na zaufaniu sieci społecznościowych.

Popularne

Najczęściej oglądane

Ładowanie...