DroidBot 行動惡意軟體

一種名為 DroidBot 的新的令人不安的 Android 銀行威脅正在英國、義大利、法國、西班牙和葡萄牙的加密貨幣交易所和銀行應用程式上掀起波瀾。 DroidBot 最初由網路安全研究人員於 2024 年 6 月發現，它作為惡意軟體即服務 (MaaS) 平台運行，以每月 3,000 美元的價格向附屬機構提供其惡意功能。

儘管缺乏突破性的功能，DroidBot 的廣泛使用和功能使其成為一個重大問題。對其殭屍網路之一的分析顯示，歐洲各國（包括土耳其和德國）有 776 種獨特的感染。該惡意軟體也顯示出擴展到拉丁美洲等新地區的跡象。

DroidBot MaaS 如何為網路犯罪分子提供支持

據信 DroidBot 的開發人員位於土耳其，他們創建了一個 MaaS 平台，降低了網路犯罪分子執行複雜攻擊的障礙。附屬機構可以使用一整套工具，包括：

• 惡意軟體建構器，用於為特定目標自訂有效負載。
• 用於管理操作的命令和控制 (C2) 伺服器。
• 用於檢索收集的資料和發出命令的中央管理面板。

研究人員已經確定了 17 個使用 DroidBot 的附屬組織，所有這些組織都在共享 C2 基礎設施上運行，並具有唯一識別碼來追蹤活動。附屬機構透過 Telegram 管道接收廣泛的文件、支援和定期更新，為攻擊者創建一個省力、高回報的系統。

隱密與欺騙：DroidBot 的偽裝

為了滲透用戶設備，DroidBot 經常偽裝成合法應用程序，包括 Google Chrome、Google Play 商店甚至 Android 安全服務。一旦安裝，它就會像特洛伊木馬一樣運行，從目標應用程式中收集敏感資訊。

其核心功能使攻擊者能夠執行一系列惡意活動，例如：

• 鍵盤記錄：擷取在受感染裝置上輸入的所有擊鍵。
• 覆蓋攻擊：在合法應用程式介面上顯示虛假登入畫面以取得憑證。
• 短信攔截：劫持短信，特別是那些包含銀行登入 OTP 的短信。

利用無障礙服務

DroidBot 嚴重依賴 Android 的輔助功能服務，該功能旨在幫助殘障用戶監控操作和模擬滑動或點擊。這種濫用強調了審查在安裝過程中請求異常權限的應用程式的重要性。如果應用程式在沒有明確目的的情況下請求存取輔助服務，使用者應立即拒絕該請求，並在必要時卸載該應用程式。

高價值目標：銀行和加密應用程式

DroidBot 的覆蓋範圍已擴展到 77 個備受矚目的加密貨幣和銀行應用程式。一些值得注意的目標包括：

• 加密貨幣交易所： Binance、KuCoin 和 Kraken。
• 銀行應用程式： BBVA、Unicredit、Santander、BNP Paribas 和 Credit Agricole。
• 數位錢包： Metamask。

這些應用程式保存敏感的財務數據，使其成為網路犯罪分子的主要目標。

如何保持保護

緩解 DroidBot 等威脅需要採取主動的方法：

• 堅持使用官方來源：僅從 Google Play 商店下載應用程式。
• 審查權限：對不尋常的權限請求保持警惕，尤其是涉及輔助服務的請求。
• 啟動 Play Protect ：確保您的 Android 裝置上啟用此安全功能。

透過採用這些做法，使用者可以大幅減少面臨 DroidBot 等威脅的風險，並維持對其敏感資料的控制。隨著 DroidBot 不斷發展並擴大其影響範圍，保持知情和謹慎對於防禦其欺騙策略仍然至關重要。