据BleepingComputer消息,一种名为“DroidBot”的新型安卓系统银行恶意软件试图窃取77 家加密货币交易所和银行应用程序的凭证,涉及英国、意大利、法国、西班牙、葡萄牙等多个国家。
据发现恶意软件的 Cleafy 研究人员称,DroidBot 自 2024 年 6 月以来一直活跃,并作为恶意软件即服务 (MaaS) 平台运行,每月的使用价格为3000美元。
尽管 DroidBot 缺乏任何新颖或复杂的功能,但对其一个僵尸网络的分析显示,英国、意大利、法国、土耳其和德国发生了 776 起感染活动,表明其存在显著活跃的迹象,且该恶意软件似乎仍在积极开发中。目前,一些比较典型的凭证窃取对象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。
DroidBot 的开发人员可能是土耳其人,为威胁组织提供进行攻击所需的所有工具,包括恶意软件构建器、命令和控制 (C2) 服务器以及中央管理面板,可以从目标那里控制其操作、检索被盗数据和发出命令。通过对一个C2 基础设施的分析,已有17个威胁组织在使用该恶意软件。
DroidBot 的后台面板
有效负载构建器允许威胁组织自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址,此外还可以访问详细的文档、获得恶意软件创建者的支持,并访问定期发布更新的 Telegram 频道。 总而言之,DroidBot MaaS 操作使没有经验或技能较低的网络犯罪分子的进入门槛相当低。
模仿热门应用
DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”,以诱骗用户安装恶意应用程序,主要功能包括:
- 键盘记录 – 捕获受害者输入的每次击键。
- 叠加 – 在合法的银行应用程序界面上显示虚假登录页面。
- SMS interception (SMS 拦截)– 劫持传入的 SMS 消息,尤其是那些包含用于银行登录的一次性密码 (OTP) 的消息。
- 虚拟网络计算– VNC 模块使威胁组织能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。
要实现上述恶意功能,一个关键要素也在于DroidBot能够滥用 Android 的辅助功能服务来监控用户操作,并代表恶意软件模拟滑动和点击。因此,如果用户安装的应用程序请求非必要且敏感的权限,应该提高警惕并拒绝相关请求。
此外,建议安卓用户仅从官方应用商店下载程序,在安装时仔细检查权限请求,并确保 Play Protect 在其设备上处于活动状态。
