據(jù)BleepingComputer消息，一種名為“DroidBot”的新型安卓系統(tǒng)銀行惡意軟件試圖竊取77 家加密貨幣交易所和銀行應(yīng)用程序的憑證，涉及英國(guó)、意大利、法國(guó)、西班牙、葡萄牙等多個(gè)國(guó)家。

據(jù)發(fā)現(xiàn)惡意軟件的 Cleafy 研究人員稱(chēng)，DroidBot 自 2024 年 6 月以來(lái)一直活躍，并作為惡意軟件即服務(wù) （MaaS） 平臺(tái)運(yùn)行，每月的使用價(jià)格為3000美元。

盡管 DroidBot 缺乏任何新穎或復(fù)雜的功能，但對(duì)其一個(gè)僵尸網(wǎng)絡(luò)的分析顯示，英國(guó)、意大利、法國(guó)、土耳其和德國(guó)發(fā)生了 776 起感染活動(dòng)，表明其存在顯著活躍的跡象，且該惡意軟件似乎仍在積極開(kāi)發(fā)中。目前，一些比較典型的憑證竊取對(duì)象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。

DroidBot 的開(kāi)發(fā)人員可能是土耳其人，為威脅組織提供進(jìn)行攻擊所需的所有工具，包括惡意軟件構(gòu)建器、命令和控制 （C2） 服務(wù)器以及中央管理面板，可以從目標(biāo)那里控制其操作、檢索被盜數(shù)據(jù)和發(fā)出命令。通過(guò)對(duì)一個(gè)C2 基礎(chǔ)設(shè)施的分析，已有17個(gè)威脅組織在使用該惡意軟件。

DroidBot 的后臺(tái)面板

有效負(fù)載構(gòu)建器允許威脅組織自定義 DroidBot 以針對(duì)特定應(yīng)用程序、使用不同的語(yǔ)言并設(shè)置其他 C2 服務(wù)器地址，此外還可以訪問(wèn)詳細(xì)的文檔、獲得惡意軟件創(chuàng)建者的支持，并訪問(wèn)定期發(fā)布更新的 Telegram 頻道。 總而言之，DroidBot MaaS 操作使沒(méi)有經(jīng)驗(yàn)或技能較低的網(wǎng)絡(luò)犯罪分子的進(jìn)入門(mén)檻相當(dāng)?shù)汀?/p>

模仿熱門(mén)應(yīng)用

DroidBot 通常偽裝成 Google Chrome、Google Play 商店或“Android Security”，以誘騙用戶(hù)安裝惡意應(yīng)用程序，主要功能包括：

• 鍵盤(pán)記錄 – 捕獲受害者輸入的每次擊鍵。
• 疊加 – 在合法的銀行應(yīng)用程序界面上顯示虛假登錄頁(yè)面。
• SMS interception （SMS 攔截）– 劫持傳入的 SMS 消息，尤其是那些包含用于銀行登錄的一次性密碼 （OTP） 的消息。
• 虛擬網(wǎng)絡(luò)計(jì)算– VNC 模塊使威脅組織能夠遠(yuǎn)程查看和控制受感染的設(shè)備、執(zhí)行命令以及使屏幕變暗以隱藏惡意活動(dòng)。

要實(shí)現(xiàn)上述惡意功能，一個(gè)關(guān)鍵要素也在于DroidBot能夠?yàn)E用 Android 的輔助功能服務(wù)來(lái)監(jiān)控用戶(hù)操作，并代表惡意軟件模擬滑動(dòng)和點(diǎn)擊。因此，如果用戶(hù)安裝的應(yīng)用程序請(qǐng)求非必要且敏感的權(quán)限，應(yīng)該提高警惕并拒絕相關(guān)請(qǐng)求。

此外，建議安卓用戶(hù)僅從官方應(yīng)用商店下載程序，在安裝時(shí)仔細(xì)檢查權(quán)限請(qǐng)求，并確保 Play Protect 在其設(shè)備上處于活動(dòng)狀態(tài)。