Un nou malware bancar Android numit ‘DroidBot’ încearcă să fure credențiale pentru peste 77 de schimburi de criptomonede și aplicații bancare din Marea Britanie, Italia, Franța, Spania și Portugalia.
Potrivit cercetătorilor de la Cleafy care au descoperit noul malware Android, DroidBot este activ din iunie 2024 și funcționează ca o platformă de malware ca serviciu (MaaS), vânzând instrumentul pentru 3.000 de dolari/lună.
Cel puțin 17 grupuri afiliate au fost identificate folosind constructori de malware pentru a-și personaliza încărcăturile pentru ținte specifice.
Deși DroidBot lipsește de caracteristici noi sau sofisticate, analiza unuia dintre botneturile sale a relevat 776 de infecții unice în Marea Britanie, Italia, Franța, Turcia și Germania, indicând o activitate semnificativă.
De asemenea, Cleafy spune că malware-ul pare să fie în plină dezvoltare în prezent, cu semne că încearcă să se extindă în noi regiuni, inclusiv America Latină.
Dezvoltatorii DroidBot, care par să fie turci, furnizează afiliaților toate instrumentele necesare pentru a efectua atacuri. Aceasta include constructorul de malware, serverele de comandă și control (C2) și un panou de administrare central de unde își pot controla operațiunile, recupera datele furate și da comenzi.
Mai mulți afiliați operează pe aceeași infrastructură C2, cu identificatori unici atribuiți fiecărui grup, permițându-i lui Cleafy să identifice 17 grupuri de amenințări.
Constructorul de încărcătură permite afiliaților să-și personalizeze DroidBot pentru a viza aplicații specifice, să folosească diferite limbi și să seteze alte adrese de servere C2.
Afiliații au, de asemenea, acces la documentații detaliate, suport din partea creatorilor malware-ului și acces la un canal Telegram unde sunt publicate actualizări în mod regulat.
În total, operațiunea MaaS DroidBot face ca barierele de intrare să fie destul de reduse pentru infractorii cibernetici neexperimentați sau cu abilități reduse.
DroidBot este adesea mascat ca Google Chrome, Google Play Store sau ‘Securitate Android’ ca modalitate de a păcăli utilizatorii să instaleze aplicația malitioasă.
Cu toate acestea, în toate cazurile, acționează ca un troian care încearcă să fure informații sensibile din aplicații.
Principalele caracteristici ale malware-ului sunt:
Un aspect cheie al operațiunii DroidBot este abuzul Serviciilor de Accesibilitate ale Androidului pentru a monitoriza acțiunile utilizatorului și pentru a simula glisări și atingeri în numele malware-ului. Prin urmare, dacă instalați o aplicație care solicită permisiuni ciudate, cum ar fi Serviciile de Accesibilitate, ar trebui să deveniți imediat suspicios și să refuzați cererea.
Dintre cele 77 de aplicații pe care DroidBot încearcă să fure credențiale, unele deosebite includ Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken și Garanti BBVA.
Pentru a reduce această amenințare, utilizatorii Android sunt sfătuiți să descarce doar aplicații din Google Play, să analizeze cererile de permisiuni la instalare și să se asigure că Play Protect este activ pe dispozitivele lor.
Leave a Reply