摘要：Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。

E安全消息，Cleafy威胁情报和响应（TIR）团队最新揭露了DroidBot，一种复杂的Android远程访问木马（RAT），与土耳其恶意软件即服务（MaaS）操作有关。

DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。

DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。

它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。

“DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。

该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。

Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。”

与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。

宣传新Android机器人的论坛帖子

“DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。

DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括：

键盘记录：捕获敏感输入，例如登录凭据。

覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。

类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。

远程控制：使攻击者能够模拟用户交互并操纵设备。

值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。

Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。

调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。

DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。

正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”

被盗超4亿美元！日本加密货币交易所DMM Bitcoin宣布停止运营

2024.12.6

思科10年老漏洞，影响ASA软件WebVPN登录页面

2024.12.5

APT35活动：从美国到阿联酋，针对航空航天、半导体

2024.12.4

注：本文由E安全编译报道，转载请联系授权并注明来源。

来源：嵇嵇科技杂谈