Нещодавно виявлений троян віддаленого доступу Android (RAT) націлений на 77 банків, криптовалютних бірж і національних організацій, попереджає фірма з запобігання шахрайству Cleafy.
RAT, який отримав назву DroidBot і активний із середини 2024 року, використовувався в багатьох кампаніях у Європі, в основному націлених на користувачів у Франції, Італії, Іспанії та Туреччині. Атаки також спостерігалися у Великобританії та Португалії, і Cleafy знайшов докази того, що вони можуть поширитися на Латинську Америку.
DroidBot має складні можливості, включаючи прихований VNC, методи накладання атак, можливості шпигунського програмного забезпечення, такі як клавіатурні журнали та моніторинг користувачів, а також механізм двоканального зв’язку для підвищення гнучкості.
Зловмисне програмне забезпечення поширюється під виглядом безпекових і банківських додатків і служб Google і покладається на служби доступності Android для виконання зловмисних дій на заражених пристроях.
Після запуску він може перехоплювати SMS-повідомлення, щоб викрадати номери автентифікації транзакцій (TAN), знімати конфіденційну інформацію з екрана (включно з обліковими даними), накладати підроблені сторінки входу на законні банківські програми та робити періодичні знімки екрана.
Як і більшість сучасних банківських троянів, DroidBot дозволяє своїм операторам дистанційно керувати зараженими пристроями для виконання команд і імітації взаємодії з користувачем.
Однак унікальним для цього RAT є використання двоканального методу зв’язку команд і управління (C&C), який покладається на протокол MQTT (Message Queuing Telemetry Transport) для вихідних пакетів і на HTTPS для вхідних команд.
DroidBot розповсюджується за бізнес-моделлю зловмисного програмного забезпечення як послуги (MaaS), із ідентифікацією 17 окремих афілійованих учасників загроз, деякі з яких, здається, співпрацюють.
У жовтневому дописі на російськомовному форумі про кіберзлочинність розробник RAT рекламував його як написаний з нуля та доступний як пакет послуг, який включає шифрувальник (для обфускації шкідливого ПЗ) і доступ до сервера.
Автор також зазначив, що RAT надано без обмежень щодо країн СНД, припускаючи, що вони можуть бути не з регіону СНД.
«У тому ж дописі на форумі автор включив деталі каналу Telegram для тих, хто зацікавлений приєднатися до групи як афілійованих осіб. Цей канал надає додаткову інформацію про функції DroidBot і вартість місячної підписки в 3000 доларів США», — зазначає Кліфай.
Філіям DroidBot надається доступ до веб-панелі для керування своїми бот-мережами заражених пристроїв і збору облікових даних, взаємодії з ботами для перенаправлення телефонних дзвінків, надсилання фальшивих push-повідомлень, вилучення даних і віддаленого доступу до пристрою для різноманітних дій.
Панель C&C також надає доступ до конструктора, щоб кожен афілійований користувач міг налаштувати конфігурацію зловмисного програмного забезпечення для створення окремих збірок і ухилення від виявлення.
Cleafy зазначає, що DroidBot знаходиться на стадії розробки, деякі функції ще не реалізовані належним чином, хоча вони існують як заповнювачі, а інші змінюються між зразками.
пов'язані: Банківський троян Android ToxicPanda націлений на Європу
пов'язані: Влада Німеччини арештувала рахунки компанії FinFisher, яка займається шпигунським програмним забезпеченням
пов'язані: EarSpy: стежить за телефонними дзвінками через вібрацію динаміка, зафіксовану акселерометром
пов'язані: Хакери “Earth Wendigo” викрадають електронні листи через бекдор JavaScript
Залишити відповідь