據(jù)BleepingComputer消息，一種名為“DroidBot”的新型安卓系統(tǒng)銀行惡意軟件試圖竊取77 家加密貨幣交易所和銀行應(yīng)用程序的憑證，涉及英國、意大利、法國、西班牙、葡萄牙等多個國家。

據(jù)發(fā)現(xiàn)惡意軟件的 Cleafy 研究人員稱，DroidBot 自 2024 年 6 月以來一直活躍，并作為惡意軟件即服務(wù) （MaaS） 平臺運(yùn)行，每月的使用價格為3000美元。

盡管 DroidBot 缺乏任何新穎或復(fù)雜的功能，但對其一個僵尸網(wǎng)絡(luò)的分析顯示，英國、意大利、法國、土耳其和德國發(fā)生了 776 起感染活動，表明其存在顯著活躍的跡象，且該惡意軟件似乎仍在積極開發(fā)中。目前，一些比較典型的憑證竊取對象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。

DroidBot 的開發(fā)人員可能是土耳其人，為威脅組織提供進(jìn)行攻擊所需的所有工具，包括惡意軟件構(gòu)建器、命令和控制 （C2） 服務(wù)器以及中央管理面板，可以從目標(biāo)那里控制其操作、檢索被盜數(shù)據(jù)和發(fā)出命令。通過對一個C2 基礎(chǔ)設(shè)施的分析，已有17個威脅組織在使用該惡意軟件。

DroidBot 的后臺面板

有效負(fù)載構(gòu)建器允許威脅組織自定義 DroidBot 以針對特定應(yīng)用程序、使用不同的語言并設(shè)置其他 C2 服務(wù)器地址，此外還可以訪問詳細(xì)的文檔、獲得惡意軟件創(chuàng)建者的支持，并訪問定期發(fā)布更新的 Telegram 頻道。 總而言之，DroidBot MaaS 操作使沒有經(jīng)驗(yàn)或技能較低的網(wǎng)絡(luò)犯罪分子的進(jìn)入門檻相當(dāng)?shù)汀?/p>

模仿熱門應(yīng)用

DroidBot 通常偽裝成 Google Chrome、Google Play 商店或“Android Security”，以誘騙用戶安裝惡意應(yīng)用程序，主要功能包括：

• 鍵盤記錄 – 捕獲受害者輸入的每次擊鍵。
• 疊加 – 在合法的銀行應(yīng)用程序界面上顯示虛假登錄頁面。
• SMS interception （SMS 攔截）– 劫持傳入的 SMS 消息，尤其是那些包含用于銀行登錄的一次性密碼 （OTP） 的消息。
• 虛擬網(wǎng)絡(luò)計算– VNC 模塊使威脅組織能夠遠(yuǎn)程查看和控制受感染的設(shè)備、執(zhí)行命令以及使屏幕變暗以隱藏惡意活動。

要實(shí)現(xiàn)上述惡意功能，一個關(guān)鍵要素也在于DroidBot能夠?yàn)E用 Android 的輔助功能服務(wù)來監(jiān)控用戶操作，并代表惡意軟件模擬滑動和點(diǎn)擊。因此，如果用戶安裝的應(yīng)用程序請求非必要且敏感的權(quán)限，應(yīng)該提高警惕并拒絕相關(guān)請求。

此外，建議安卓用戶僅從官方應(yīng)用商店下載程序，在安裝時仔細(xì)檢查權(quán)限請求，并確保 Play Protect 在其設(shè)備上處于活動狀態(tài)。