Datzbro银行木马
网络安全研究人员最近发现了一款此前未记录的安卓银行木马,名为 Datzbro,旨在执行设备接管 (DTO) 攻击并进行欺诈性金融交易。该恶意软件主要针对老年用户,通过基于社交媒体的社会工程活动来利用他们的信任。
目录
通过 Facebook 群组进行社会工程
该攻击活动于2025年8月首次被发现,此前有澳大利亚用户报告了该攻击活动。攻击者管理着一些Facebook群组,宣传“活跃老年旅行”,目标人群是那些对社交活动、活动和面对面聚会感兴趣的老年人。其他受影响的地区包括新加坡、马来西亚、加拿大、南非和英国。
这些 Facebook 群组经常分享 AI 生成的内容,声称为老年人组织活动。如果目标用户表示感兴趣,攻击者就会通过 Facebook Messenger 或 WhatsApp 联系他们,引导他们从欺诈链接(例如 download.seniorgroupapps.com)下载 APK 文件。
这些虚假网站宣传一款所谓的社区应用程序,声称它可以让老年人:
- 注册参加活动。
- 与其他小组成员联系。
- 跟踪即将到来的日程安排。
有些网站甚至包含 iOS 应用程序的占位符链接,这表明攻击者的目标是 Android 和 iOS 用户,并分发适用于 iOS 的 TestFlight 应用程序以试图欺骗受害者。
Datzbro 如何感染设备
当受害者下载 Android 应用程序时,它会:
- 直接在设备上安装恶意软件,或者
- 部署使用 Zombinder 创建的植入器,Zombinder 是一种 APK 绑定服务,可绕过 Android 13 及更高版本的安全限制。
已发现多个传播 Datzbro 的恶意应用程序,包括:
- 高级组(twzlibwr.rlrkvsdw.bcfwgozi)
- 活力岁月(orgLivelyYears.browses646)
- ActiveSenior(com.forest481.security)
- DanceWave(inedpnok.kfxuvnie.mggfqzhl)
能力和财务威胁
Datzbro 拥有广泛的间谍软件和金融欺诈功能,包括:
- 录制音频和拍摄照片。
- 访问文件和照片。
- 进行覆盖攻击、键盘记录和远程设备控制。
- 使用 Android 辅助服务代表受害者执行自动化操作。
该软件的一个突出特点是其原理图远程控制模式,它会向攻击者发送所有屏幕元素的详细信息,包括它们的位置和内容。这使得攻击者能够复制界面并完全远程控制设备。
此外,Datzbro 还可以:
- 显示带有自定义文本的半透明覆盖以隐藏恶意活动。
- 窃取支付宝和微信的设备锁屏PIN码和密码。
- 扫描银行或加密货币钱包应用程序的可访问性事件日志并提取凭据。
这些功能凸显了该恶意软件对经济利益的关注,将最初的间谍软件变成了窃取敏感银行信息的复杂威胁。
归因和命令与控制基础设施
分析表明,Datzbro与一个使用中文的威胁组织存在关联,恶意软件源代码中的中文调试和日志字符串便是证据。与许多依赖基于Web的C2面板的恶意软件家族不同,Datzbro连接到一个中文桌面应用程序进行命令与控制操作。
该 C2 应用程序的编译版本已泄露到公共病毒库,表明该恶意软件现在可能在网络犯罪分子中自由分发,从而增加其潜在影响范围。
对移动安全的影响
Datzbro 的发现彰显了移动威胁的演变,尤其是那些利用社会工程学攻击弱势群体的威胁。攻击者将目标锁定在老年人身上,并利用看似无害的 Facebook 活动,可以将简单的社交互动升级为设备接管、凭证窃取和金融欺诈。
此次活动强调了对移动安全保持警惕的重要性,特别是对于可能通过基于信任的社交网络成为攻击目标的老年用户。
