Cleafy威胁情报和响应(TIR)团队最新揭露了DroidBot,一种复杂的Android远程访问木马(RAT),与土耳其恶意软件即服务(MaaS)操作有关。
DroidBot具有先进的功能,正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动,移动恶意软件威胁显著升级。
DroidBot于2024年6月首次被发现,它结合了高级功能,包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录,使其成为设备欺诈的强大工具。
它采用双通道通信,使用MQTT传输出站数据,使用HTTPS传输入站命令,确保灵活性和弹性。
“DroidBot是一种高级的Android远程访问木马(RAT)……具有通常与间谍软件相关的特性,能够拦截用户交互和窃取凭证。”Cleafy报告指出。
该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体,有迹象表明其正在扩展到拉丁美洲。
Cleafy强调,“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合,突显了DroidBot的复杂性和适应性。”
与传统的恶意软件活动不同,DroidBot作为恶意软件即服务(MaaS)运营,允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符,一个Telegram频道宣传DroidBot的功能,每月3000美元的费用。
宣传新Android机器人的论坛帖子来源:Cleafy
“DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说,并强调了这种方法提供的可扩展性和覆盖范围。
DroidBot通过社会工程策略分发,伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作,包括:
- 键盘记录:捕获敏感输入,例如登录凭据。
- 覆盖攻击:在合法应用程序上显示虚假登录页面以收集凭据。
- 类似VNC的例程:为攻击者提供设备活动的连续屏幕截图。
- 远程控制:使攻击者能够模拟用户交互并操纵设备。
值得注意的是,DroidBot将MQTT用于其命令和控制(C2)基础设施,这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。
Cleafy的分析表明,DroidBot仍在积极开发中,具有占位符函数和不同级别的样本混淆。
调试字符串和恶意软件配置等证据表明,其开发人员是土耳其语使用者,针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。
DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。
正如Cleafy警告的那样,“真正的担忧点在于这种新的分发和合作模式,这将把攻击面的监控提升到一个全新的水平。”
转自E安全,原文链接:https://mp.weixin.qq.com/s/FqiiePg8u0fqvei3YLEFFQ
暂无评论内容