Un nou malware bancar pentru Android numit ‘DroidBot’ încearcă să fure credențiale pentru peste 77 de schimburi de criptomonede și aplicații bancare din Marea Britanie, Italia, Franța, Spania și Portugalia.
Potrivit cercetătorilor de la Cleafy care au descoperit noul malware Android, DroidBot este activ din iunie 2024 și funcționează ca o platformă de malware ca serviciu (MaaS), vânzând instrumentul pentru 3.000 de dolari/lună.
Cel puțin 17 grupuri afiliate au fost identificate utilizând constructori de malware pentru a-și personaliza încărcăturile pentru ținte specifice.
Deși DroidBot lipsește de caracteristici noi sau sofisticate, analiza uneia dintre botneturile sale a relevat 776 de infecții unice în Marea Britanie, Italia, Franța, Turcia și Germania, indicând o activitate semnificativă.
De asemenea, Cleafy spune că malware-ul pare să fie în dezvoltare intensă în prezent, cu semne de încercare a extinderii către noi regiuni, inclusiv America Latină.
Dezvoltatorii lui DroidBot, care par a fi turci, oferă afiliaților toate instrumentele necesare pentru a efectua atacuri. Acest lucru include constructorul de malware, serverele de comandă și control (C2) și un panou de administrare central de unde își pot controla operațiunile, pot recupera datele furate și pot emite comenzi.
Mai mulți afiliați operează pe aceeași infrastructură C2, cu identificatori unici asignați fiecărui grup, permițându-i lui Cleafy să identifice 17 grupuri de amenințări.
Constructorul de încărcături le permite afiliaților să personalizeze DroidBot pentru a viza aplicații specifice, să folosească diferite limbi și să seteze alte adrese de servere C2.
Afiliaților li se oferă de asemenea acces la documentație detaliată, suport din partea creatorilor malware-ului și acces la un canal Telegram unde se publică actualizări în mod regulat.
În concluzie, operațiunea DroidBot MaaS face ca barierele de intrare să fie destul de scăzute pentru cibercriminalii neexperimentați sau cu abilități reduse.
DroidBot se prezintă adesea ca Google Chrome, Magazinul Google Play sau ‘Securitate Android’ ca modalitate de a păcăli utilizatorii să instaleze aplicația malefică.
Cu toate acestea, în toate cazurile, acționează ca un troian care încearcă să fure informații sensibile din aplicații.
Principalele caracteristici ale malware-ului sunt:
Un aspect cheie al operațiunii DroidBot este abuzul serviciilor de accesibilitate ale Android pentru a monitoriza acțiunile utilizatorului și a simula glisări și atingeri în numele malware-ului. Prin urmare, dacă instalați o aplicație care solicită permisiuni ciudate, cum ar fi Serviciile de accesibilitate, ar trebui să deveniți imediat suspicios și să refuzați cererea.
Dintre cele 77 de aplicații pe care DroidBot încearcă să le fure, unele se evidențiază, printre care Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken și Garanti BBVA.
Pentru a atenua această amenințare, utilizatorii Android sunt sfătuiți să descarce aplicații doar din Google Play, să examineze cererile de permisiuni la instalare și să se asigure că Protecția Play este activă pe dispozitivele lor.
Malware-ul Android ‘FakeCall’ redirecționează acum apelurile bancare către atacatori
Malware-ul TrickMo fură PIN-urile Android folosind un ecran de blocare fals
Noua versiune a malware-ului Android Octo se prezintă ca NordVPN, Google Chrome
Peste 200 de aplicații malefice pe Google Play descărcate de milioane de ori
Hackerii ruși preiau serviciile de servere ale hackerilor pakistanezi pentru propriile atacuri
Leave a Reply