Um novo malware para Android chamado 'DroidBot' tenta roubar credenciais de mais de 77 exchanges de criptomoedas e aplicativos bancários no Reino Unido, Itália, França, Espanha e Portugal.
De acordo com os pesquisadores da Cleafy, que descobriram o novo malware para Android, DroidBot está ativo desde junho de 2024 e opera como uma plataforma de malware-como-serviço (MaaS), vendendo a ferramenta por US$ 3.000/mês.
Pelo menos 17 grupos afiliados foram identificados usando builders de malware para personalizar seus payloads para alvos específicos.
Embora o DroidBot não possua recursos novos ou sofisticados, a análise de uma de suas botnets revelou 776 infecções únicas no Reino Unido, Itália, França, Turquia e Alemanha, indicando uma atividade significativa.
Além disso, a Cleafy afirma que o malware parece estar em intenso desenvolvimento naquele momento, com sinais de tentativa de expansão para novas regiões, incluindo América Latina.
Os desenvolvedores do DroidBot, que parecem ser turcos, fornecem aos afiliados todas as ferramentas necessárias para conduzir ataques.
Isso inclui o builder de malware, servidores de comando e controle (C2) e um painel de administração central de onde eles podem controlar suas operações, recuperar dados roubados e emitir comandos.
Múltiplos afiliados operam na mesma infraestrutura C2, com identificadores únicos atribuídos a cada grupo, permitindo à Cleafy identificar 17 grupos de ameaças.
O builder de payload permite que os afiliados personalizem o DroidBot para atingir aplicativos específicos, usar diferentes idiomas e definir outros endereços de servidores C2.
Os afiliados também têm acesso a documentação detalhada, suporte dos criadores do malware e acesso a um canal do Telegram, onde atualizações são publicadas regularmente.
Em resumo, a operação MaaS do DroidBot torna a barreira de entrada bastante baixa para criminosos cibernéticos inexperientes ou com pouca habilidade.
O DroidBot é frequentemente disfarçado como Google Chrome, Google Play Store ou 'Segurança Android' como uma forma de enganar usuários para instalar o aplicativo malicioso.
No entanto, em todos os casos, ele age como um trojan tentando roubar informações sensíveis de aplicativos.
As principais características do malware são:
- Keylogging – Capturando cada tecla digitada pela vítima.
- Overlaying – Exibindo páginas de login falsas sobre as interfaces legítimas de aplicativos bancários.
- Intercepção de SMS – Sequestra mensagens SMS recebidas, particularmente aquelas contendo senhas de uso único (OTPs) para acessos bancários.
- Virtual Network Computing – O módulo VNC dá aos afiliados a capacidade de visualizar e controlar remotamente o dispositivo infectado, executar comandos e escurecer a tela para esconder a atividade maliciosa.
Um aspecto chave da operação do DroidBot é o abuso dos Serviços de Acessibilidade do Android para monitorar ações do usuário e simular swipes e toques em nome do malware.
Portanto, se você instalar um app que solicita permissões estranhas, como os Serviços de Acessibilidade, você deve imediatamente desconfiar e negar o pedido.
Entre os 77 aplicativos que o DroidBot tenta roubar credenciais, alguns destaques incluem Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Crédit Agricole, Kraken e Garanti BBVA.
Para mitigar essa ameaça, usuários Android são aconselhados a apenas baixar aplicativos a partir do Google Play, analisar com atenção as solicitações de permissão durante a instalação, e garantir que o Play Protect esteja ativo em seus dispositivos.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...