Até 77 instituições bancárias, exchanges de criptomoedas e organizações nacionais se tornaram alvo de um novo Android remote access trojan (RAT) descoberto recentemente, denominado DroidBot.
"DroidBot é um RAT moderno que combina técnicas de VNC oculto e ataques de overlay com capacidades semelhantes ao spyware, como keylogging e monitoramento de interface do usuário," afirmaram os pesquisadores da Cleafy, Simone Mattia, Alessandro Strino e Federico Valentini.
Além disso, utiliza comunicação dual-channel, transmitindo dados de saída por MQTT e recebendo comandos de entrada via HTTPS, proporcionando flexibilidade operacional melhorada e resiliência.
A empresa italiana de prevenção a fraudes disse que descobriu o malware no final de outubro de 2024, embora haja evidências de que ele está ativo desde pelo menos junho, operando sob um modelo de malware-as-a-service (MaaS) por uma taxa mensal de $3.000.
Não menos que 17 grupos afiliados foram identificados pagando pelo acesso ao serviço.
Isso também inclui acesso a um painel web de onde eles podem modificar a configuração para criar arquivos APK personalizados incorporando o malware, assim como interagir com os dispositivos infectados emitindo vários comandos.
Campanhas que exploram o DroidBot foram primariamente observadas na Áustria, Bélgica, França, Itália, Portugal, Espanha, Turquia e no Reino Unido.
Os aplicativos maliciosos são disfarçados como aplicativos genéricos de segurança, Google Chrome ou aplicativos bancários populares.
Enquanto o malware se apoia fortemente no abuso dos serviços de acessibilidade do Android para colher dados sensíveis e controlar remotamente os dispositivos infectados, ele se destaca pelo uso de dois diferentes protocolos para command-and-control (C2).
Especificamente, o DroidBot emprega HTTPS para comandos de entrada, enquanto dados de saída dos dispositivos infectados são transmitidos usando um protocolo de mensagens chamado MQTT.
"Essa separação melhora sua flexibilidade operacional e resiliência," afirmaram os pesquisadores.
O broker MQTT usado pelo DroidBot é organizado em tópicos específicos que categorizam os tipos de comunicação trocada entre os dispositivos infectados e a infraestrutura C2.
As origens exatas dos agentes de ameaça por trás da operação não são conhecidas, embora uma análise das amostras de malware tenha revelado que são falantes de turco.
"O malware apresentado aqui pode não brilhar do ponto de vista técnico, já que é bastante similar a famílias de malware conhecidas," observaram os pesquisadores.
No entanto, o que realmente se destaca é seu modelo operacional, que se assemelha muito a um esquema de Malware-as-a-Service (MaaS) – algo não comumente visto neste tipo de ameaça.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...