O Malware DroidBot tem como alvo bancos e organizações nacionais em toda a Europa

Image by Freepik

O Malware DroidBot tem como alvo bancos e organizações nacionais em toda a Europa

Tempo de leitura: 3 minuto

Analistas de segurança da Cleafy descobriram um sofisticado Trojan de Acesso Remoto Android (RAT) chamado DroidBot, identificado como parte de uma operação de Malware-as-a-Service (MaaS) originada na Turquia.

Com pressa? Aqui estão os fatos rápidos!

  • DroidBot é um novo Trojan de Acesso Remoto (RAT) para Android, que está mirando 77 entidades globais.
  • Ele utiliza MQTT e HTTPS para comunicação furtiva e entrega de comandos.
  • O malware explora os Serviços de Acessibilidade do Android para keylogging e ataques de sobreposição.

Primeiramente rastreado até junho de 2024 e ativamente observado em outubro, DroidBot demonstra capacidades avançadas e um impacto geográfico crescente, particularmente na Europa.

DroidBot é um tipo de spyware que combina métodos como acesso à tela oculta e telas de login falsas para roubar dados pessoais. Ele envia dados roubados através de um método desenvolvido para dispositivos inteligentes e recebe comandos através de sites seguros, tornando-o mais difícil de detectar.

Algumas de suas artimanhas incluem registrar o que você digita para capturar senhas, criar telas de login falsas para roubar suas informações, tirar capturas de tela do seu telefone para espionar sua atividade e até mesmo controlar seu telefone remotamente para imitar suas ações.

Ele tira proveito dos Serviços de Acessibilidade do Android, que os usuários muitas vezes concedem sem saber durante a instalação. Disfarçado como aplicativos inofensivos como ferramentas de segurança ou aplicativos bancários, o DroidBot engana as pessoas para que façam o download.

O DroidBot tem como alvo 77 organizações, incluindo bancos, bolsas de criptomoedas e entidades nacionais. Campanhas foram observadas no Reino Unido, França, Espanha, Itália e Portugal, com indicações de expansão para a América Latina.

As preferências de idioma no código e na infraestrutura do malware sugerem desenvolvedores que falam turco.

O desenvolvimento contínuo é evidente, com inconsistências nas verificações de raiz, níveis de ofuscação e processos de desempacotamento em diferentes amostras. Essas variações indicam esforços para aprimorar o malware e adaptá-lo a diferentes ambientes.

O DroidBot opera dentro de uma estrutura MaaS, onde afiliados pagam pelo acesso à sua infraestrutura. A Cleafy identificou 17 grupos de afiliados usando o mesmo servidor MQTT, indicando colaboração ou demonstrações das capacidades do malware.

Anunciado em fóruns de hackers de língua russa, o serviço inclui recursos avançados como Sistemas de Transferência Automatizados (ATS) para fraudes financeiras e custa aos afiliados $3.000 mensais.

A sofisticação do DroidBot, apoiada por rotinas de criptografia e comunicação baseada em MQTT, o posiciona como uma ameaça cibernética significativa. Seu modelo MaaS, desenvolvimento contínuo e capacidade de contornar a autenticação de dois fatores geram preocupações para instituições financeiras e governos.

À medida que o DroidBot continua a evoluir, especialistas em segurança enfatizam a vigilância e medidas de proteção aprimoradas para organizações nas regiões afetadas.

Gostou desse artigo? Avalie!
Eu detestei Eu não gostei Achei razoável Muito bom! Eu adorei!

Estamos muito felizes que tenha gostado do nosso trabalho!

Como um leitor importante, você se importaria de nos avaliar no Trustpilot? É rápido e significa muito para nós. Obrigado por ser incrível!

Avalie-nos no Trustpilot
0 Votado por 0 usuários
Título
Comentar
Obrigado por seu feedback
Loader
Please wait 5 minutes before posting another comment.
Comment sent for approval.

Deixe um comentário

Loader
Loader Mostrar mais...