Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie DroidBot Mobilne Malware

DroidBot Mobilne Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:
Polski

Nowe i niepokojące zagrożenie bankowości Android, znane jako DroidBot, wywołuje poruszenie, atakując giełdy kryptowalut i aplikacje bankowe w Wielkiej Brytanii, Włoszech, Francji, Hiszpanii i Portugalii. Początkowo odkryty przez badaczy cyberbezpieczeństwa w czerwcu 2024 r., DroidBot działa jako platforma Malware-as-a-Service (MaaS), oferując swoje złośliwe możliwości podmiotom stowarzyszonym za wysokie 3000 USD miesięcznie.

Pomimo braku przełomowych funkcji, powszechne wykorzystanie i funkcjonalność DroidBota sprawiają, że jest on poważnym problemem. Analiza jednego z jego botnetów ujawniła 776 unikalnych infekcji w różnych krajach europejskich, w tym w Turcji i Niemczech. Złośliwe oprogramowanie wykazuje również oznaki ekspansji na nowe regiony, takie jak Ameryka Łacińska.

Jak DroidBot MaaS wzmacnia pozycję cyberprzestępców

Twórcy DroidBot, prawdopodobnie z siedzibą w Turcji, stworzyli platformę MaaS, która obniża bariery dla cyberprzestępców w celu przeprowadzania wyrafinowanych ataków. Partnerzy uzyskują dostęp do kompleksowego zestawu narzędzi, w tym:

  • Narzędzie do tworzenia złośliwego oprogramowania, umożliwiające dostosowywanie ładunków do konkretnych celów.
  • Serwery C2 (Command-and-Control) służące do zarządzania operacjami.
  • Centralny panel administracyjny umożliwiający pobieranie zebranych danych i wydawanie poleceń.

Badacze zidentyfikowali 17 grup afiliacyjnych korzystających z DroidBot, z których wszystkie działają na wspólnej infrastrukturze C2 z unikalnymi identyfikatorami do śledzenia aktywności. Afilianci otrzymują obszerną dokumentację, wsparcie i regularne aktualizacje za pośrednictwem kanału Telegram, tworząc system o niskim nakładzie pracy i wysokich nagrodach dla atakujących.

Skradanie się i oszustwo: przebrania DroidBota

Aby zinfiltrować urządzenia użytkowników, DroidBot często podszywa się pod legalne aplikacje, w tym Google Chrome, Google Play Store, a nawet usługi Android Security. Po zainstalowaniu działa jako trojan, zbierając poufne informacje z docelowych aplikacji.

Jego główne cechy umożliwiają atakującym wykonywanie szeregu złośliwych działań, takich jak:

  • Keylogging : przechwytywanie wszystkich naciśnięć klawiszy na zainfekowanym urządzeniu.
  • Ataki nakładkowe : wyświetlanie fałszywych ekranów logowania na legalnych interfejsach aplikacji w celu zdobycia danych uwierzytelniających.
  • Przechwytywanie SMS-ów : przechwytywanie wiadomości SMS, szczególnie tych zawierających hasła jednorazowe służące do logowania się do bankowości.
  • Zdalne sterowanie urządzeniami : Korzystając z modułu Virtual Network Computing (VNC), partnerzy mogą zdalnie przeglądać i kontrolować zainfekowane urządzenia, wykonywać polecenia i ukrywać swoje działania poprzez przyciemnianie ekranu.

Wykorzystanie usług ułatwień dostępu

DroidBot w dużym stopniu opiera się na usługach ułatwień dostępu Androida, funkcji zaprojektowanej, aby pomóc użytkownikom niepełnosprawnym w monitorowaniu działań i symulowanych przesunięć lub stuknięć. To niewłaściwe użycie podkreśla znaczenie dokładnego sprawdzania aplikacji, które żądają nietypowych uprawnień podczas instalacji. Jeśli aplikacja prosi o dostęp do usług ułatwień dostępu bez wyraźnego celu, użytkownicy powinni natychmiast odrzucić żądanie i odinstalować aplikację, jeśli to konieczne.

Cele o wysokiej wartości: aplikacje bankowe i kryptograficzne

Zasięg DroidBot obejmuje 77 popularnych aplikacji kryptowalutowych i bankowych. Niektóre godne uwagi cele obejmują:

  • Giełdy kryptowalut: Binance, KuCoin i Kraken.
  • Aplikacje bankowe: BBVA, Unicredit, Santander, BNP Paribas i Credit Agricole.
  • Portfele cyfrowe: Metamask.

Aplikacje te przechowują poufne dane finansowe, przez co stanowią doskonały cel dla cyberprzestępców.

Jak zachować ochronę

Aby ograniczyć zagrożenia, takie jak DroidBot, należy podjąć proaktywne podejście:

  • Korzystaj z oficjalnych źródeł : Pobieraj aplikacje wyłącznie ze sklepu Google Play.
  • Przejrzyj uprawnienia : Zachowaj czujność w przypadku nietypowych próśb o uprawnienia, zwłaszcza tych dotyczących Usług Ułatwień Dostępu.
  • Aktywuj Play Protect : Upewnij się, że ta funkcja bezpieczeństwa jest włączona na Twoim urządzeniu z systemem Android.

Dzięki przyjęciu tych praktyk użytkownicy mogą znacznie zmniejszyć swoje narażenie na zagrożenia, takie jak DroidBot, i zachować kontrolę nad swoimi poufnymi danymi. Ponieważ DroidBot nadal ewoluuje i rozszerza swój zasięg, pozostawanie poinformowanym i ostrożnym pozostaje kluczowe w obronie przed jego zwodniczymi taktykami.

Popularne

Capital One - Twój kredyt premiowy jest w drodze...

Phishing, Spam
Internet jest bramą do nieograniczonych możliwości, ale stwarza również zagrożenia, które wymagają ciągłej czujności. Oszuści tworzą coraz bardziej wyrafinowane schematy, często naśladując zaufane marki, aby oszukać niczego niepodejrzewających użytkowników. Wśród tych schematów oszustwo e-mailowe „Capital One - Your Reward Credit Is On The Way” żeruje na zaufaniu i ciekawości. W tym artykule...

Oszustwo e-mailowe z informacjami o zamówieniach DHL

Phishing, Spam
W erze, w której e-mail stał się kamieniem węgielnym nowoczesnej komunikacji, cyberprzestępcy nadal wykorzystują go jako narzędzie oszustwa. Oszustwo e-mailowe DHL Order Details to wyrafinowana kampania phishingowa, która żeruje na zaufaniu użytkowników do legalnych usług, takich jak DHL. Zrozumienie stosowanych taktyk i związanych z nimi ryzyk jest kluczowe dla ochrony Twoich danych osobowych...

Najczęściej oglądane

Ładowanie...