La sfârșitul lunii octombrie 2024, echipa Cleafy TIR a descoperit și analizat un nou troian de acces la distanță Android (RAT) numit DroidBot. Acest malware avansat combină tehnici de atac ascunse VNC și suprapuse cu capabilități de tip spyware, cum ar fi înregistrarea tastelor și monitorizarea interfeței cu utilizatorul.
Caracteristici Cheie ale DroidBot
- Comunicare pe Două Canale: DroidBot folosește protocolul MQTT pentru a transmite datele de ieșire și HTTPS pentru a primi comenzi de intrare, oferind flexibilitate și rezistență sporită.
- Ținte Multiple: La momentul redactării articolului, DroidBot vizează 77 de entități distincte, inclusiv instituții bancare și burse de criptomonede.
- Dezvoltare Activă: Inconsecvențele observate în mai multe eșantioane indică faptul că acest malware este încă în curs de dezvoltare activă, cu funcții substituente și diferite niveluri de disimulare.
- Origine Turcă: Informațiile preluate din eșantioanele de malware sugerează că majoritatea dezvoltatorilor sunt vorbitori de turcă, reflectând eforturile de adaptare a tacticilor pentru un impact geografic mai larg.
Impactul și Răspândirea DroidBot
DroidBot a fost observat în campanii active în țări precum Marea Britanie, Italia, Franța, Spania și Portugalia, indicând o potențială expansiune în America Latină. Acest malware reprezintă o amenințare semnificativă pentru instituțiile financiare și alte ținte de mare valoare din mai multe regiuni.
Concluzie
DroidBot este un troian Android avansat care combină funcționalități de supraveghere și furt de acreditări cu o infrastructură de tip Malware-as-a-Service (MaaS). Pe măsură ce evoluează, acest malware reprezintă o amenințare din ce în ce mai mare pentru securitatea cibernetică globală.