DroidBot 移动恶意软件

一种名为 DroidBot 的新型 Android 银行威胁正在引起轰动，它针对的是英国、意大利、法国、西班牙和葡萄牙的加密货币交易所和银行应用程序。DroidBot 最初于 2024 年 6 月被网络安全研究人员发现，它以恶意软件即服务 (MaaS) 平台的形式运行，以每月 3,000 美元的高价向关联企业提供其恶意功能。

尽管缺乏突破性的功能，但 DroidBot 的广泛使用和功能使其成为一个重大问题。对其一个僵尸网络的分析显示，包括土耳其和德国在内的多个欧洲国家/地区有 776 个独特的感染。该恶意软件还显示出向拉丁美洲等新地区扩张的迹象。

DroidBot MaaS 如何帮助网络犯罪分子

DroidBot 的开发人员据信位于土耳其，他们创建了一个 MaaS 平台，降低了网络犯罪分子实施复杂攻击的门槛。会员可以使用一套全面的工具，包括：

• 用于针对特定目标定制有效载荷的恶意软件构建器。
• 用于管理操作的命令和控制 (C2) 服务器。
• 用于检索收集的数据和发出命令的中央管理面板。

研究人员已确定有 17 个附属团体使用 DroidBot，它们均在共享的 C2 基础设施上运行，并使用唯一标识符来跟踪活动。附属团体通过 Telegram 频道收到大量文档、支持和定期更新，为攻击者创建了一个低投入、高回报的系统。

隐身与欺骗：DroidBot 的伪装

为了入侵用户设备，DroidBot 经常伪装成合法应用程序，包括 Google Chrome、Google Play Store 甚至 Android 安全服务。一旦安装，它就会以木马的形式运行，从目标应用程序中收集敏感信息。

其核心功能使攻击者能够执行一系列恶意活动，例如：

• 键盘记录：捕获在受感染设备上输入的所有击键。
• 覆盖攻击：在合法应用程序界面上显示虚假登录屏幕以获取凭证。
• 短信拦截：劫持短信，尤其是包含银行登录 OTP 的短信。

利用无障碍服务

DroidBot 严重依赖 Android 的无障碍服务，该功能旨在帮助残障用户监控操作和模拟滑动或点击。这种滥用凸显了仔细检查安装过程中请求异常权限的应用程序的重要性。如果应用程序在没有明确目的的情况下请求访问无障碍服务，用户应立即拒绝该请求并在必要时卸载该应用程序。

高价值目标：银行和加密应用程序

DroidBot 的攻击范围已扩展到 77 个备受关注的加密货币和银行应用程序。一些值得注意的目标包括：

• 加密货币交易所： Binance、KuCoin 和 Kraken。
• 银行应用程序： BBVA、Unicredit、Santander、BNP Paribas 和 Credit Agricole。
• 数字钱包： Metamask。

这些应用程序存储敏感的财务数据，使其成为网络犯罪分子的主要目标。

如何保持保护

减轻 DroidBot 等威胁需要采取主动的方法：

• 坚持官方来源：仅从 Google Play 商店下载应用程序。
• 审查权限：对不寻常的权限请求保持警惕，尤其是涉及无障碍服务的权限请求。
• 激活 Play Protect ：确保您的 Android 设备上启用了此安全功能。

通过采用这些做法，用户可以显著减少受到 DroidBot 等威胁的风险，并保持对敏感数据的控制。随着 DroidBot 不断发展并扩大其影响范围，保持知情和谨慎对于防御其欺骗性策略仍然至关重要。