Phần mềm độc hại DroidBot Mobile

Một mối đe dọa ngân hàng Android mới và đáng lo ngại, được gọi là DroidBot, đang tạo nên làn sóng bằng cách nhắm mục tiêu vào các sàn giao dịch tiền điện tử và ứng dụng ngân hàng ở Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha. Ban đầu được các nhà nghiên cứu an ninh mạng phát hiện vào tháng 6 năm 2024, DroidBot hoạt động như một nền tảng Malware-as-a-Service (MaaS), cung cấp khả năng gây hại của mình cho các chi nhánh với mức giá khổng lồ là 3.000 đô la mỗi tháng.

Mặc dù thiếu các tính năng đột phá, việc sử dụng và chức năng rộng rãi của DroidBot khiến nó trở thành mối quan tâm đáng kể. Một phân tích về một trong những mạng botnet của nó đã phát hiện ra 776 trường hợp nhiễm trùng duy nhất ở nhiều quốc gia châu Âu, bao gồm Thổ Nhĩ Kỳ và Đức. Phần mềm độc hại này cũng cho thấy dấu hiệu mở rộng sang các khu vực mới, chẳng hạn như Châu Mỹ Latinh.

DroidBot MaaS trao quyền cho tội phạm mạng như thế nào

Các nhà phát triển của DroidBot, được cho là có trụ sở tại Thổ Nhĩ Kỳ, đã tạo ra một nền tảng MaaS giúp giảm rào cản cho tội phạm mạng thực hiện các cuộc tấn công tinh vi. Các chi nhánh có quyền truy cập vào một bộ công cụ toàn diện, bao gồm:

• Trình xây dựng phần mềm độc hại để tùy chỉnh các phần mềm độc hại cho các mục tiêu cụ thể.
• Máy chủ chỉ huy và điều khiển (C2) để quản lý hoạt động.
• Bảng quản trị trung tâm để thu thập dữ liệu đã thu thập và đưa ra lệnh.

Các nhà nghiên cứu đã xác định được 17 nhóm liên kết sử dụng DroidBot, tất cả đều hoạt động trên cơ sở hạ tầng C2 được chia sẻ với các mã định danh duy nhất để theo dõi hoạt động. Các nhóm liên kết nhận được tài liệu, hỗ trợ và cập nhật thường xuyên thông qua kênh Telegram, tạo ra một hệ thống ít nỗ lực, phần thưởng cao cho những kẻ tấn công.

Tàng hình và Lừa dối: Những lớp ngụy trang của DroidBot

Để xâm nhập vào thiết bị của người dùng, DroidBot thường ngụy trang thành các ứng dụng hợp pháp, bao gồm Google Chrome, Google Play Store hoặc thậm chí là dịch vụ Bảo mật Android. Sau khi cài đặt, nó hoạt động như một Trojan, thu thập thông tin nhạy cảm từ các ứng dụng mục tiêu.

Các tính năng cốt lõi của nó cho phép kẻ tấn công thực hiện một loạt các hoạt động độc hại, chẳng hạn như:

• Ghi lại phím : Ghi lại tất cả các lần nhấn phím trên thiết bị bị nhiễm.
• Tấn công phủ chồng : Hiển thị màn hình đăng nhập giả trên giao diện ứng dụng hợp pháp để thu thập thông tin đăng nhập.
• Chặn tin nhắn SMS : Đánh cắp tin nhắn SMS, đặc biệt là những tin nhắn có chứa mã OTP để đăng nhập vào dịch vụ ngân hàng.
• Điều khiển thiết bị từ xa : Sử dụng mô-đun Virtual Network Computing (VNC), các chi nhánh có thể xem và điều khiển từ xa các thiết bị bị nhiễm, thực hiện lệnh và che giấu hành động của chúng bằng cách làm tối màn hình.

Khai thác dịch vụ trợ năng

DroidBot phụ thuộc rất nhiều vào Dịch vụ trợ năng của Android, một tính năng được thiết kế để hỗ trợ người dùng khuyết tật trong việc theo dõi các hành động và các thao tác vuốt hoặc chạm mô phỏng. Việc sử dụng sai mục đích này nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các ứng dụng yêu cầu quyền bất thường trong quá trình cài đặt. Nếu một ứng dụng yêu cầu quyền truy cập vào Dịch vụ trợ năng mà không có mục đích rõ ràng, người dùng nên từ chối ngay yêu cầu đó và gỡ cài đặt ứng dụng nếu cần.

Mục tiêu có giá trị cao: Ngân hàng và ứng dụng tiền điện tử

Phạm vi tiếp cận của DroidBot mở rộng tới 77 ứng dụng ngân hàng và tiền điện tử nổi tiếng. Một số mục tiêu đáng chú ý bao gồm:

• Sàn giao dịch tiền điện tử: Binance, KuCoin và Kraken.
• Ứng dụng ngân hàng: BBVA, Unicredit, Santander, BNP Paribas và Credit Agricole.
• Ví điện tử: Metamask.

Các ứng dụng này lưu trữ dữ liệu tài chính nhạy cảm, khiến chúng trở thành mục tiêu chính của tội phạm mạng.

Làm thế nào để được bảo vệ

Việc giảm thiểu các mối đe dọa như DroidBot đòi hỏi một cách tiếp cận chủ động:

• Chỉ tải xuống ứng dụng từ nguồn chính thức : Chỉ tải xuống ứng dụng từ Cửa hàng Google Play.
• Xem lại Quyền : Hãy cảnh giác với các yêu cầu cấp quyền bất thường, đặc biệt là những yêu cầu liên quan đến Dịch vụ Trợ năng.
• Kích hoạt Play Protect : Đảm bảo tính năng bảo mật này được bật trên thiết bị Android của bạn.

Bằng cách áp dụng các biện pháp này, người dùng có thể giảm đáng kể mức độ tiếp xúc với các mối đe dọa như DroidBot và duy trì quyền kiểm soát dữ liệu nhạy cảm của họ. Khi DroidBot tiếp tục phát triển và mở rộng phạm vi tiếp cận, việc luôn cập nhật thông tin và thận trọng vẫn rất quan trọng để bảo vệ chống lại các chiến thuật lừa đảo của nó.