一种名为“DroidBot”的新 Android 银行恶意软件试图窃取英国、意大利、法国、西班牙和葡萄牙超过 77 个加密货币交易所和银行应用程序的凭据。

据发现新 Android 恶意软件的 Cleafy 研究人员称，DroidBot 自 2024 年 6 月以来一直活跃，并作为恶意软件即服务 (MaaS) 平台运行，该工具的售价为每月 3,000 美元。至少有 17 个附属组织已被发现使用恶意软件构建器来针对特定目标定制其有效负载。

尽管 DroidBot 缺乏任何新颖或复杂的功能，但对其僵尸网络之一的分析显示，英国、意大利、法国、土耳其和德国有 776 种独特的感染，表明存在重大活动。此外，Cleafy 表示，该恶意软件似乎正在大力开发，有迹象表明试图扩展到包括拉丁美洲在内的新地区。

DroidBot MaaS 操作

DroidBot 的开发人员似乎是土耳其人，他们为附属公司提供了进行攻击所需的所有工具。这包括恶意软件构建器、命令和控制 (C2) 服务器以及中央管理面板，他们可以从中控制操作、检索被盗数据和发出命令。

创作者声称 DroidBot 在 Android 14 上运行良好

多个附属机构在同一 C2 基础设施上运行，并为每个组织分配了唯一的标识符，使 Cleafy 能够识别 17 个威胁组织。

从样本配置中提取的附属机构

有效负载构建器允许附属机构自定义 DroidBot 以针对特定应用程序、使用不同的语言并设置其他 C2 服务器地址。关联公司还可以访问详细文档、恶意软件创建者的支持以及定期发布更新的 Telegram 频道。

总而言之，DroidBot MaaS 操作使缺乏经验或低技能的网络犯罪分子的进入门槛相当低。

管理面板为附属公司提供完全控制

冒充流行应用程序

DroidBot 通常伪装成 Google Chrome、Google Play 商店或“Android Security”来欺骗用户安装恶意应用程序。然而，在所有情况下，它都会充当试图从应用程序窃取敏感信息的特洛伊木马。

DroidBot 的屏蔽应用程序

该恶意软件的主要特征是：

·按键记录 – 捕获受害者输入的每一次按键。

·覆盖 – 在合法的银行应用程序界面上显示虚假的登录页面。

·短信拦截 – 劫持传入的短信，特别是那些包含用于银行登录的一次性密码 (OTP) 的短信。

·虚拟网络计算 – VNC 模块使附属机构能够远程查看和控制受感染的设备、执行命令以及使屏幕变暗以隐藏恶意活动。

DroidBot 操作的一个关键方面是滥用 Android 的辅助功能服务来监控用户操作，并代表恶意软件模拟滑动和点击。因此，如果用户安装了请求奇怪权限的应用程序（例如辅助功能服务），应该立即产生怀疑并拒绝该请求。

在 DroidBot 试图窃取凭证的 77 个应用程序中，一些突出的应用程序包括 Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken 和 Garanti BBVA。

为了减轻这种威胁，建议 Android 用户仅从 Google Play 下载应用程序，在安装时仔细检查权限请求，并确保 Play Protect 在其设备上处于活动状态。

参考及来源：https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/