O Malware DroidBot tem como alvo bancos e organizações nacionais em toda a Europa

Analistas de segurança da Cleafy descobriram um sofisticado Trojan de Acesso Remoto Android (RAT) chamado DroidBot, identificado como parte de uma operação de Malware-as-a-Service (MaaS) originada na Turquia.

Primeiramente rastreado até junho de 2024 e ativamente observado em outubro, DroidBot demonstra capacidades avançadas e um impacto geográfico crescente, particularmente na Europa.

DroidBot é um tipo de spyware que combina métodos como acesso à tela oculta e telas de login falsas para roubar dados pessoais. Ele envia dados roubados através de um método desenvolvido para dispositivos inteligentes e recebe comandos através de sites seguros, tornando-o mais difícil de detectar.

Algumas de suas artimanhas incluem registrar o que você digita para capturar senhas, criar telas de login falsas para roubar suas informações, tirar capturas de tela do seu telefone para espionar sua atividade e até mesmo controlar seu telefone remotamente para imitar suas ações.

Ele tira proveito dos Serviços de Acessibilidade do Android, que os usuários muitas vezes concedem sem saber durante a instalação. Disfarçado como aplicativos inofensivos como ferramentas de segurança ou aplicativos bancários, o DroidBot engana as pessoas para que façam o download.

O DroidBot tem como alvo 77 organizações, incluindo bancos, bolsas de criptomoedas e entidades nacionais. Campanhas foram observadas no Reino Unido, França, Espanha, Itália e Portugal, com indicações de expansão para a América Latina.

As preferências de idioma no código e na infraestrutura do malware sugerem desenvolvedores que falam turco.

O desenvolvimento contínuo é evidente, com inconsistências nas verificações de raiz, níveis de ofuscação e processos de desempacotamento em diferentes amostras. Essas variações indicam esforços para aprimorar o malware e adaptá-lo a diferentes ambientes.

O DroidBot opera dentro de uma estrutura MaaS, onde afiliados pagam pelo acesso à sua infraestrutura. A Cleafy identificou 17 grupos de afiliados usando o mesmo servidor MQTT, indicando colaboração ou demonstrações das capacidades do malware.

Anunciado em fóruns de hackers de língua russa, o serviço inclui recursos avançados como Sistemas de Transferência Automatizados (ATS) para fraudes financeiras e custa aos afiliados $3.000 mensais.

A sofisticação do DroidBot, apoiada por rotinas de criptografia e comunicação baseada em MQTT, o posiciona como uma ameaça cibernética significativa. Seu modelo MaaS, desenvolvimento contínuo e capacidade de contornar a autenticação de dois fatores geram preocupações para instituições financeiras e governos.

À medida que o DroidBot continua a evoluir, especialistas em segurança enfatizam a vigilância e medidas de proteção aprimoradas para organizações nas regiões afetadas.