O Malware DroidBot tem como alvo bancos e organizações nacionais em toda a Europa
Analistas de segurança da Cleafy descobriram um sofisticado Trojan de Acesso Remoto Android (RAT) chamado DroidBot, identificado como parte de uma operação de Malware-as-a-Service (MaaS) originada na Turquia.
Com pressa? Aqui estão os fatos rápidos!
- DroidBot é um novo Trojan de Acesso Remoto (RAT) para Android, que está mirando 77 entidades globais.
- Ele utiliza MQTT e HTTPS para comunicação furtiva e entrega de comandos.
- O malware explora os Serviços de Acessibilidade do Android para keylogging e ataques de sobreposição.
Primeiramente rastreado até junho de 2024 e ativamente observado em outubro, DroidBot demonstra capacidades avançadas e um impacto geográfico crescente, particularmente na Europa.
DroidBot é um tipo de spyware que combina métodos como acesso à tela oculta e telas de login falsas para roubar dados pessoais. Ele envia dados roubados através de um método desenvolvido para dispositivos inteligentes e recebe comandos através de sites seguros, tornando-o mais difícil de detectar.
Algumas de suas artimanhas incluem registrar o que você digita para capturar senhas, criar telas de login falsas para roubar suas informações, tirar capturas de tela do seu telefone para espionar sua atividade e até mesmo controlar seu telefone remotamente para imitar suas ações.
Ele tira proveito dos Serviços de Acessibilidade do Android, que os usuários muitas vezes concedem sem saber durante a instalação. Disfarçado como aplicativos inofensivos como ferramentas de segurança ou aplicativos bancários, o DroidBot engana as pessoas para que façam o download.
O DroidBot tem como alvo 77 organizações, incluindo bancos, bolsas de criptomoedas e entidades nacionais. Campanhas foram observadas no Reino Unido, França, Espanha, Itália e Portugal, com indicações de expansão para a América Latina.
As preferências de idioma no código e na infraestrutura do malware sugerem desenvolvedores que falam turco.
O desenvolvimento contínuo é evidente, com inconsistências nas verificações de raiz, níveis de ofuscação e processos de desempacotamento em diferentes amostras. Essas variações indicam esforços para aprimorar o malware e adaptá-lo a diferentes ambientes.
O DroidBot opera dentro de uma estrutura MaaS, onde afiliados pagam pelo acesso à sua infraestrutura. A Cleafy identificou 17 grupos de afiliados usando o mesmo servidor MQTT, indicando colaboração ou demonstrações das capacidades do malware.
Anunciado em fóruns de hackers de língua russa, o serviço inclui recursos avançados como Sistemas de Transferência Automatizados (ATS) para fraudes financeiras e custa aos afiliados $3.000 mensais.
A sofisticação do DroidBot, apoiada por rotinas de criptografia e comunicação baseada em MQTT, o posiciona como uma ameaça cibernética significativa. Seu modelo MaaS, desenvolvimento contínuo e capacidade de contornar a autenticação de dois fatores geram preocupações para instituições financeiras e governos.
À medida que o DroidBot continua a evoluir, especialistas em segurança enfatizam a vigilância e medidas de proteção aprimoradas para organizações nas regiões afetadas.
Deixe um comentário
Cancelar