Малварь DroidBot атакует банки и национальные организации по всей Европе

Аналитики безопасности из Cleafy обнаружили сложный троянский вирус для удаленного доступа к Android (RAT), названный DroidBot, который был идентифицирован как часть операции по предоставлению вредоносных программ как услуги (MaaS), исходящей из Турции.

Впервые обнаруженный в июне 2024 года и активно отслеживаемый с октября, DroidBot демонстрирует продвинутые возможности и растущее географическое влияние, особенно в Европе.

DroidBot — это тип шпионского ПО, который объединяет методы, такие как скрытый доступ к экрану и поддельные экраны входа, чтобы украсть личные данные. Он отправляет украденные данные с помощью метода, разработанного для умных устройств, и получает команды через защищенные веб-сайты, что затрудняет его обнаружение.

К некоторым из его уловок относятся запись того, что вы набираете, чтобы украсть пароли, создание поддельных экранов входа для кражи вашей информации, снимки экрана вашего телефона для шпионажа за вашей активностью, и даже удаленное управление вашим телефоном, чтобы имитировать ваше поведение.

Он использует возможности служб доступности Android, которые пользователи часто незаметно предоставляют во время установки. Маскируясь под безобидные приложения, такие как инструменты безопасности или банковские приложения, DroidBot обманывает людей, заставляя их скачать его.

DroidBot атакует 77 организаций, включая банки, криптовалютные биржи и национальные структуры. Кампании были замечены в Великобритании, Франции, Испании, Италии и Португалии, с признаками расширения в Латинскую Америку.

Предпочтения в языке в коде и инфраструктуре вредоносного программного обеспечения указывают на разработчиков, говорящих на турецком языке.

Заметно, что разработка продолжается, что видно по несоответствиям в проверках корневых прав, уровнях обфускации и процессах распаковки в различных образцах. Эти вариации указывают на старания по совершенствованию вредоносного программного обеспечения и его адаптации к различным средам.

DroidBot работает в рамках фреймворка MaaS, где аффилиаты платят за доступ к его инфраструктуре. Cleafy выявила 17 аффилиат-групп, использующих один и тот же MQTT сервер, что указывает на сотрудничество или демонстрацию возможностей вредоносного программного обеспечения.

Рекламируемый на форумах русскоязычных хакеров, сервис включает в себя продвинутые функции, такие как Автоматизированные системы переводов (ATS) для финансового мошенничества и стоит аффилиатам 3000 долларов в месяц.

Сложность DroidBot, поддерживаемая процедурами шифрования и коммуникацией на основе MQTT, позиционирует его как значительную киберугрозу. Его модель MaaS, непрерывное развитие и способность обходить двухфакторную аутентификацию вызывают тревогу у финансовых учреждений и правительств.

По мере того как DroidBot продолжает эволюционировать, эксперты в области безопасности настаивают на необходимости бдительности и усиленных защитных мер для организаций в пострадавших регионах.