Зловмисне програмне забезпечення для мобільних пристроїв DroidBot
Нова тривожна банківська загроза Android, відома як DroidBot, набирає хвилі, націлившись на біржі криптовалют і банківські програми у Великобританії, Італії, Франції, Іспанії та Португалії. DroidBot, спочатку виявлений дослідниками кібербезпеки в червні 2024 року, працює як платформа зловмисного програмного забезпечення як послуги (MaaS), пропонуючи свої шкідливі можливості афілійованим особам за солідні 3000 доларів США на місяць.
Незважаючи на відсутність новаторських функцій, широке використання та функціональність DroidBot викликають серйозне занепокоєння. Аналіз одного з його ботнетів виявив 776 унікальних заражень у різних європейських країнах, включаючи Туреччину та Німеччину. Зловмисне програмне забезпечення також демонструє ознаки експансії в нові регіони, такі як Латинська Америка.
Зміст
Як DroidBot MaaS дає змогу кіберзлочинцям
Розробники DroidBot, які, як вважають, базуються в Туреччині, створили платформу MaaS, яка знижує бар’єри для кіберзлочинців у виконанні складних атак. Афілійовані особи отримують доступ до повного набору інструментів, зокрема:
- Розробник зловмисного програмного забезпечення для налаштування корисних навантажень для конкретних цілей.
- Командно-контрольні (C2) сервери для керування операціями.
- Панель центрального адміністрування для отримання зібраних даних і видачі команд.
Дослідники ідентифікували 17 афілійованих груп за допомогою DroidBot, усі вони працюють на спільній інфраструктурі C2 з унікальними ідентифікаторами для відстеження дій. Афілійовані особи отримують розширену документацію, підтримку та регулярні оновлення через канал Telegram, створюючи систему з низькими зусиллями та високою винагородою для зловмисників.
Стелс і обман: маскування DroidBot
Щоб проникнути на пристрої користувачів, DroidBot часто маскується під законні програми, зокрема Google Chrome, Google Play Store або навіть служби безпеки Android. Після встановлення він працює як троян, збираючи конфіденційну інформацію з цільових програм.
Його основні функції дозволяють зловмисникам виконувати низку шкідливих дій, наприклад:
- Keylogging : запис усіх натискань клавіш, введених на зараженому пристрої.
- Оверлейні атаки : відображення підроблених екранів входу через законні інтерфейси додатків для отримання облікових даних.
- Перехоплення SMS : викрадення SMS-повідомлень, особливо тих, що містять OTP для входу в банківські системи.
Використання служб доступності
DroidBot значною мірою покладається на Android Accessibility Services, функцію, розроблену, щоб допомогти користувачам з обмеженими можливостями відстежувати дії та симулювати рухи або торкання. Це неправильне використання підкреслює важливість ретельного вивчення програм, які запитують незвичні дозволи під час встановлення. Якщо програма просить надати доступ до Accessibility Services без чіткої мети, користувачі повинні негайно відхилити запит і за необхідності видалити програму.
Цілі високої вартості: банківські та криптододатки
Охоплення DroidBot поширюється на 77 високопрофільних криптовалютних і банківських програм. Деякі відомі цілі включають:
- Біржі криптовалют: Binance, KuCoin і Kraken.
- Банківські програми: BBVA, Unicredit, Santander, BNP Paribas і Credit Agricole.
- Цифрові гаманці: метамаска.
Ці програми зберігають конфіденційні фінансові дані, що робить їх основними цілями для кіберзлочинців.
Як залишатися захищеним
Пом’якшення таких загроз, як DroidBot, вимагає проактивного підходу:
- Дотримуйтеся офіційних джерел : завантажуйте програми лише з магазину Google Play.
- Перегляд дозволів : будьте пильні щодо незвичайних запитів на дозволи, особливо тих, що стосуються служб доступності.
- Активувати Play Protect : переконайтеся, що цю функцію безпеки ввімкнено на вашому пристрої Android.
Застосовуючи ці методи, користувачі можуть значно зменшити свій вплив на такі загрози, як DroidBot, і зберегти контроль над своїми конфіденційними даними. Оскільки DroidBot продовжує розвиватися та розширювати своє охоплення, залишатися поінформованим і обережним залишається критично важливим для захисту від його оманливої тактики.
