Multi-License Discount Quote
Banta sa Database Mobile Malware DroidBot Mobile Malware

DroidBot Mobile Malware

Sa pamamagitan ng Mezo sa Mobile Malware, Trojan sa pagbabangko
Isalin To:
Wikang Filipino

Ang isang bago at nakakagambalang pagbabanta ng Android banking, na kilala bilang DroidBot, ay gumagawa ng mga wave sa pamamagitan ng pag-target sa mga palitan ng cryptocurrency at mga banking app sa UK, Italy, France, Spain at Portugal. Paunang natuklasan ng mga mananaliksik sa cybersecurity noong Hunyo 2024, ang DroidBot ay nagpapatakbo bilang isang platform ng Malware-as-a-Service (MaaS), na nag-aalok ng mga nakakahamak na kakayahan nito sa mga affiliate sa halagang $3,000 bawat buwan.

Sa kabila ng kakulangan sa mga tampok na groundbreaking, ang malawakang paggamit at paggana ng DroidBot ay ginagawa itong isang makabuluhang alalahanin. Ang pagsusuri sa isa sa mga botnet nito ay nagsiwalat ng 776 natatanging impeksyon sa iba't ibang bansa sa Europa, kabilang ang Turkey at Germany. Nagpapakita rin ang malware ng mga palatandaan ng pagpapalawak sa mga bagong rehiyon, gaya ng Latin America.

Paano Pinapalakas ng DroidBot MaaS ang mga Cybercriminal

Ang mga developer ng DroidBot, na pinaniniwalaang nakabase sa Turkey, ay lumikha ng isang platform ng MaaS na nagpapababa sa mga hadlang para sa mga cybercriminal na magsagawa ng mga sopistikadong pag-atake. Ang mga kaakibat ay nakakakuha ng access sa isang komprehensibong hanay ng mga tool, kabilang ang:

  • Isang tagabuo ng malware upang i-customize ang mga payload para sa mga partikular na target.
  • Command-and-Control (C2) server para sa pamamahala ng mga operasyon.
  • Isang panel ng sentral na administrasyon para sa pagkuha ng na-harvest na data at pag-isyu ng mga utos.

Natukoy ng mga mananaliksik ang 17 mga kaakibat na grupo gamit ang DroidBot, na lahat ay gumagana sa nakabahaging imprastraktura ng C2 na may mga natatanging identifier upang subaybayan ang mga aktibidad. Ang mga kaakibat ay tumatanggap ng malawak na dokumentasyon, suporta, at regular na mga update sa pamamagitan ng isang Telegram channel, na lumilikha ng isang mababang pagsisikap at mataas na reward na sistema para sa mga umaatake.

Stealth at Panlilinlang: DroidBot's Disguises

Upang makalusot sa mga device ng user, madalas na nagpapanggap ang DroidBot bilang mga lehitimong app, kabilang ang Google Chrome, Google Play Store o kahit na mga serbisyo ng Android Security. Kapag na-install, ito ay gumagana bilang isang Trojan, na kumukuha ng sensitibong impormasyon mula sa mga naka-target na application.

Ang mga pangunahing tampok nito ay nagbibigay-daan sa mga umaatake na magsagawa ng isang hanay ng mga nakakahamak na aktibidad, tulad ng:

  • Keylogging : Kinukuha ang lahat ng mga keystroke na ipinasok sa nahawaang device.
  • Mga Overlay na Pag-atake : Pagpapakita ng mga pekeng screen sa pag-log in sa mga lehitimong interface ng app para makakuha ng mga kredensyal.
  • SMS Interception : Pag-hijack ng mga SMS na mensahe, lalo na ang mga naglalaman ng mga OTP para sa banking sign-in.
  • Remote Device Control : Gamit ang isang Virtual Network Computing (VNC) module, maaaring malayuang tingnan at kontrolin ng mga kaakibat ang mga infected na device, magsagawa ng mga command, at itago ang kanilang mga aksyon sa pamamagitan ng pagpapadilim sa screen.

    • Pinagsasamantalahan ang Mga Serbisyo sa Accessibility

    Lubos na umaasa ang DroidBot sa Mga Serbisyo sa Accessibility ng Android, isang feature na idinisenyo upang tulungan ang mga user na may mga kapansanan sa pagsubaybay sa mga aksyon at mga simulate na pag-swipe o pag-tap. Binibigyang-diin ng maling paggamit na ito ang kahalagahan ng pagsusuri sa mga app na humihiling ng hindi pangkaraniwang mga pahintulot sa panahon ng pag-install. Kung humihingi ng access ang isang application sa Mga Serbisyo sa Accessibility nang walang malinaw na layunin, dapat na agad na tanggihan ng mga user ang kahilingan at i-uninstall ang app kung kinakailangan.

    Mga Target na High-Value: Banking at Crypto Applications

    Ang abot ng DroidBot ay umaabot sa 77 high-profile na cryptocurrency at mga aplikasyon sa pagbabangko. Ang ilang mga kilalang target ay kinabibilangan ng:

    • Mga Palitan ng Cryptocurrency: Binance, KuCoin at Kraken.
    • Mga Aplikasyon sa Pagbabangko: BBVA, Unicredit, Santander, BNP Paribas at Credit Agricole.
    • Digital Wallets: Metamask.

    Ang mga application na ito ay naglalaman ng sensitibong data sa pananalapi, na ginagawa itong pangunahing mga target para sa mga cybercriminal.

    Paano Manatiling Protektado

    Ang pagpapagaan ng mga banta tulad ng DroidBot ay nangangailangan ng isang maagap na diskarte:

    • Manatili sa Opisyal na Mga Pinagmumulan : Mag-download lamang ng mga app mula sa Google Play Store.
    • Mga Pahintulot sa Pagsusuri : Maging mapagbantay tungkol sa mga hindi pangkaraniwang kahilingan sa pahintulot, lalo na sa mga may kinalaman sa Mga Serbisyo sa Pagiging Magagamit.
    • I-activate ang Play Protect : Tiyaking naka-enable ang feature na panseguridad na ito sa iyong Android device.

    Sa pamamagitan ng paggamit ng mga kasanayang ito, ang mga user ay maaaring makabuluhang bawasan ang kanilang pagkakalantad sa mga banta tulad ng DroidBot at mapanatili ang kontrol sa kanilang sensitibong data. Habang ang DroidBot ay patuloy na nagbabago at nagpapalawak ng abot nito, ang pananatiling may kaalaman at maingat ay nananatiling kritikal sa pagtatanggol laban sa mga mapanlinlang na taktika nito.

    Trending

    Pinaka Nanood

    Naglo-load...