Datzbro銀行木馬
網路安全研究人員最近發現了一款先前未記錄的安卓銀行木馬,名為 Datzbro,旨在執行設備接管 (DTO) 攻擊並進行欺詐性金融交易。該惡意軟體主要針對老年用戶,透過基於社交媒體的社會工程活動來利用他們的信任。
目錄
透過 Facebook 群組進行社會工程
該攻擊活動於2025年8月首次被發現,此前有澳洲用戶報告了該攻擊活動。攻擊者管理著一些Facebook群組,宣傳“活躍老年旅行”,目標人群是那些對社交活動、活動和麵對面聚會感興趣的老年人。其他受影響的地區包括新加坡、馬來西亞、加拿大、南非和英國。
這些 Facebook 群組經常分享 AI 產生的內容,聲稱為老年人組織活動。如果目標用戶表示有興趣,攻擊者就會透過 Facebook Messenger 或 WhatsApp 聯繫他們,引導他們從詐騙連結(例如 download.seniorgroupapps.com)下載 APK 檔案。
這些虛假網站宣傳一個所謂的社區應用程序,聲稱它可以讓老年人:
- 註冊參加活動。
- 與其他小組成員聯繫。
- 追蹤即將到來的日程安排。
有些網站甚至包含 iOS 應用程式的佔位符鏈接,這表明攻擊者的目標是 Android 和 iOS 用戶,並分發適用於 iOS 的 TestFlight 應用程式以試圖欺騙受害者。
Datzbro 如何感染設備
當受害者下載 Android 應用程式時,它會:
- 直接在裝置上安裝惡意軟體,或者
- 部署使用 Zombinder 建立的植入器,Zombinder 是 APK 綁定服務,可繞過 Android 13 及更高版本的安全限制。
已發現多個傳播 Datzbro 的惡意應用程序,包括:
- 高階組(twzlibwr.rlrkvsdw.bcfwgozi)
- 活力歲月(orgLivelyYears.browses646)
- ActiveSenior(com.forest481.security)
- DanceWave(inedpnok.kfxuvnie.mggfqzhl)
能力和財務威脅
Datzbro 擁有廣泛的間諜軟體和金融詐欺功能,包括:
- 錄製音訊和拍攝照片。
- 存取文件和照片。
- 進行覆蓋攻擊、鍵盤記錄和遠端設備控制。
- 使用 Android 輔助服務代表受害者執行自動化操作。
該軟體的一個突出特點是其原理圖遠端控制模式,它會向攻擊者發送所有螢幕元素的詳細訊息,包括它們的位置和內容。這使得攻擊者能夠複製介面並完全遠端控制設備。
此外,Datzbro 還可以:
- 顯示帶有自訂文字的半透明覆蓋範圍以隱藏惡意活動。
- 竊取支付寶和微信的裝置鎖定畫面PIN碼和密碼。
- 掃描銀行或加密貨幣錢包應用程式的可訪問性事件日誌並提取憑證。
這些功能凸顯了該惡意軟體對經濟利益的關注,將最初的間諜軟體變成了竊取敏感銀行資訊的複雜威脅。
歸因和命令與控制基礎設施
分析表明,Datzbro與一個使用中文的威脅組織存在關聯,惡意軟體原始碼中的中文調試和日誌字串便是證據。與許多依賴基於Web的C2面板的惡意軟體家族不同,Datzbro連接到一個中文桌面應用程式進行命令與控制操作。
該 C2 應用程式的編譯版本已洩露到公共病毒庫,表明該惡意軟體現在可能在網路犯罪分子中自由分發,從而增加其潛在影響範圍。
對行動安全的影響
Datzbro 的發現彰顯了移動威脅的演變,尤其是那些利用社會工程攻擊弱勢群體的威脅。攻擊者將目標鎖定在老年人身上,並利用看似無害的 Facebook 活動,將簡單的社交互動升級為裝置接管、憑證竊取和金融詐欺。
這項活動強調了對行動安全保持警惕的重要性,特別是對於可能透過基於信任的社交網路成為攻擊目標的老年用戶。
