Νέο τραπεζικό κακόβουλο λογισμικό DroidBot Android εξαπλώνεται σε όλη την Ευρώπη

Ένα νέο τραπεζικό κακόβουλο λογισμικό Android με το όνομα «DroidBot» επιχειρεί να κλέψει διαπιστευτήρια για περισσότερες από 77 ανταλλαγές κρυπτονομισμάτων και τραπεζικές εφαρμογές στο Ηνωμένο Βασίλειο, την Ιταλία, τη Γαλλία, την Ισπανία και την Πορτογαλία.

Σύμφωνα με τους ερευνητές του Cleafy που ανακάλυψαν το νέο κακόβουλο λογισμικό Android, το DroidBot είναι ενεργό από τον Ιούνιο του 2024 και λειτουργεί ως πλατφόρμα malware-as-a-service (MaaS), πουλά το εργαλείο για 3.000 $/μήνα.

Τουλάχιστον 17 ομάδες συνεργατών έχουν εντοπιστεί χρησιμοποιώντας προγράμματα δημιουργίας κακόβουλου λογισμικού για την προσαρμογή των ωφέλιμων φορτίων τους για συγκεκριμένους στόχους.

Αν και το DroidBot στερείται νέων ή εξελιγμένων χαρακτηριστικών, η ανάλυση ενός από τα botnet του αποκάλυψε 776 μοναδικές μολύνσεις στο Ηνωμένο Βασίλειο, την Ιταλία, τη Γαλλία, την Τουρκία και τη Γερμανία, υποδεικνύοντας μια σημαντική δραστηριότητα.

Επίσης, λέει ο Cleafy το κακόβουλο λογισμικό φαίνεται να βρίσκεται υπό έντονη ανάπτυξη εκείνη την εποχή, με σημάδια απόπειρας επέκτασης σε νέες περιοχές, συμπεριλαμβανομένης της Λατινικής Αμερικής.

Η λειτουργία DroidBot MaaS

Οι προγραμματιστές του DroidBot, που φαίνεται να είναι Τούρκοι, παρέχουν στους συνεργάτες όλα τα εργαλεία που απαιτούνται για τη διεξαγωγή επιθέσεων. Αυτό περιλαμβάνει το εργαλείο δημιουργίας κακόβουλου λογισμικού, διακομιστές εντολών και ελέγχου (C2) και έναν κεντρικό πίνακα διαχείρισης από τον οποίο μπορούν να ελέγχουν τις λειτουργίες τους, να ανακτούν κλεμμένα δεδομένα και να εκδίδουν εντολές.

Πολλαπλές θυγατρικές λειτουργούν στην ίδια υποδομή C2, με μοναδικά αναγνωριστικά εκχωρημένα σε κάθε ομάδα, επιτρέποντας στο Cleafy να αναγνωρίσει 17 ομάδες απειλών.

Το πρόγραμμα δημιουργίας ωφέλιμου φορτίου επιτρέπει στις θυγατρικές εταιρείες να προσαρμόζουν το DroidBot ώστε να στοχεύουν συγκεκριμένες εφαρμογές, να χρησιμοποιούν διαφορετικές γλώσσες και να ορίζουν άλλες διευθύνσεις διακομιστή C2.

Παρέχεται επίσης στους συνεργάτες πρόσβαση σε λεπτομερή τεκμηρίωση, υποστήριξη από τους δημιουργούς του κακόβουλου λογισμικού και πρόσβαση σε ένα κανάλι Telegram όπου οι ενημερώσεις δημοσιεύονται τακτικά.

Συνολικά, η λειτουργία DroidBot MaaS καθιστά το εμπόδιο εισόδου αρκετά χαμηλό για άπειρους ή χαμηλής ειδίκευσης εγκληματίες στον κυβερνοχώρο.

Μίμηση δημοφιλών εφαρμογών

Το DroidBot συχνά μεταμφιέζεται ως Google Chrome, Google Play store ή «Android Security» ως ένας τρόπος εξαπάτησης των χρηστών να εγκαταστήσουν την κακόβουλη εφαρμογή.

Ωστόσο, σε όλες τις περιπτώσεις, λειτουργεί ως trojan που προσπαθεί να κλέψει ευαίσθητες πληροφορίες από εφαρμογές.

Τα κύρια χαρακτηριστικά του κακόβουλου λογισμικού είναι:

• Keylogging – Καταγραφή κάθε πληκτρολόγησης που πληκτρολογεί το θύμα.
• Επικάλυψη – Εμφάνιση ψεύτικων σελίδων σύνδεσης μέσω νόμιμων διεπαφών τραπεζικών εφαρμογών.
• Υποκλοπή SMS – Παρασύρει εισερχόμενα μηνύματα SMS, ιδιαίτερα αυτά που περιέχουν κωδικούς πρόσβασης μίας χρήσης (OTP) για τραπεζικές συνδέσεις.
• Υπολογισμός εικονικού δικτύου – Η μονάδα VNC δίνει στους συνεργάτες τη δυνατότητα να προβάλλουν και να ελέγχουν απομακρυσμένα τη μολυσμένη συσκευή, να εκτελούν εντολές και να σκουραίνουν την οθόνη για να κρύβουν την κακόβουλη δραστηριότητα.

Μια βασική πτυχή της λειτουργίας του DroidBot είναι η κατάχρηση των Υπηρεσιών Προσβασιμότητας του Android για την παρακολούθηση των ενεργειών των χρηστών και την προσομοίωση ολισθήσεων και πατημάτων εκ μέρους του κακόβουλου λογισμικού. Επομένως, εάν εγκαταστήσετε μια εφαρμογή που ζητά περίεργα δικαιώματα, όπως οι Υπηρεσίες Προσβασιμότητας, θα πρέπει αμέσως να γίνετε ύποπτοι και να απορρίψετε το αίτημα.

Μεταξύ των 77 εφαρμογών που επιχειρεί το DroidBot να κλέψει διαπιστευτήρια, μερικές ξεχωρίζουν όπως οι Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken και Garanti BBVA.

Για να μετριαστεί αυτή η απειλή, συνιστάται στους χρήστες Android να κάνουν λήψη εφαρμογών μόνο από το Google Play, να ελέγχουν τα αιτήματα άδειας κατά την εγκατάσταση και να βεβαιώνονται ότι το Play Protect είναι ενεργό στις συσκευές τους.