Čak 77 bankarskih institucija, berzi kriptovaluta i nacionalnih organizacija postali su meta novootkrivenog Android trojanca za daljinski pristup (RAT) pod nazivom DroidBot .
“DroidBot je moderan RAT koji kombinuje tehnike skrivenog VNC-a i preklapanja napada sa mogućnostima sličnim špijunskom softveru, kao što su keylogging i praćenje korisničkog interfejsa,” kažu istraživači Cleafyja Simone Mattia, Alessandro Strino i Federico Valentini .
„Štaviše, koristi dvokanalnu komunikaciju, prenoseći odlazne podatke preko MQTT-a i primajući ulazne komande putem HTTPS-a, pružajući poboljšanu fleksibilnost i otpornost operacija.”
Italijanska kompanija za sprečavanje prevara saopštila je da je maliciozni softver otkrila krajem oktobra 2024., iako postoje dokazi koji ukazuju na to da je aktivan najmanje od juna, radeći po modelu malware-as-a-service (MaaS) uz mjesečnu naknadu od 3,000 dolara.
Identifikovano je najmanje 17 pridruženih grupa koje plaćaju pristup ponudi. Ovo takođe uključuje pristup web panelu odakle mogu modefikuju konfiguraciju za kreiranje prilagođenih APK datoteka koje ugrađuju maliciozni softver, kao i interakciju sa zaraženim uređajima izdavanjem različitih naredbi.
Kampanje koje koriste DroidBot prvenstveno su primijećene u Austriji, Belgiji, Francuskoj, Italiji, Portugalu, Španiji, Turskoj i Ujedinjenom Kraljevstvu. Maliciozne aplikacije su prerušene u generičke sigurnosne aplikacije, Google Chrome ili popularne bankarske aplikacije.
Dok se maliciozni softver u velikoj mjeri oslanja na zloupotrebu Androidovih usluga pristupačnosti za prikupljanje osjetljivih podataka i daljinsko upravljanje zaraženim uređajima, on se izdvaja po tome što koristi dva različita protokola za komandu i kontrolu (C2).
Konkretno, DroidBot koristi HTTPS za ulazne komande, dok se izlazni podaci sa zaraženih uređaja prenose pomoću protokola za razmjenu poruka koji se zove MQTT.
“Ovo razdvajanje povećava njegovu operativnu fleksibilnost i otpornost”, rekli su istraživači. “MQTT broker koji koristi DroidBot organiziran je u specifične teme koje kategoriziraju vrste komunikacije koje se razmjenjuju između zaraženih uređaja i C2 infrastrukture.”
Tačno porijeklo hakera koji stoje iza operacije nije poznato, iako je analiza uzoraka malicioznog softvera otkrila da su oni koji govore turski jezik.
“Maliciozni softver koji je ovdje predstavljen možda neće blistati sa tehničkog stanovišta, jer je prilično sličan poznatim porodicama malicioznog softvera”, primijetili su istraživači. “Međutim, ono što se zaista ističe je njegov operativni model, koji u velikoj mjeri nalikuje shemi Malware-as-a-Service (MaaS) – nešto što se obično ne viđa u ovoj vrsti prijetnji.”
Izvor:The Hacker News
