Истражувачите од компанијата Cleafy открија нов Android банкарски тројанец наречен „DroidBot“ кој краде информации за најавување за повеќе од 77 берзи за криптовалути и банкарски апликации.
DroidBot е активен од јуни 2024 година како malware-as-a-service (MaaS) платформа. Криминалците кои сакаат да користат DroidBot плаќаат месечна претплата од 3.000 долари.
Досега се идентификувани 17 групи кои користеле малициозен софтвер за напади со помош на креаторите на малициозен софтвер. Инфекции со малициозен софтвер се откриени низ Велика Британија, Италија, Франција, Турција и Германија, но Cleafy предупредува дека има индикации за обиди за ширење на малициозен софтвер во нови региони.
Програмерите на DroidBot најверојатно се Турци, кои на подружниците им ги обезбедуваат сите алатки потребни за извршување на напади. Ова го вклучува самиот малициозен софтвер, серверите за команди и контрола (C2) и централен административен панел од кој можат да ги контролираат своите операции, да преземаат украдени податоци и да издаваат команди.
Повеќе филијали работат на иста инфраструктура C2. На секоја група и беше доделен единствен идентификатор, што му овозможи на Cleafy да идентификува 17 групи кои го користат малициозниот софтвер.
Програмерите им дозволуваат на подружниците да го приспособат DroidBot за да напаѓаат одредени апликации и различни јазици, да им обезбедат техничка поддршка и пристап до канал на Telegram каде што ажурирањата редовно се објавуваат. Генерално, DroidBot MaaS е дизајниран така што дури и неискусни сајбер криминалци можат да го користат.
DroidBot често се маскира како Google Chrome, Google Play Store или „Android Security“. Во сите случаи, DroidBot делува како тројанец кој се обидува да украде чувствителни информации од апликациите.
Злонамерниот софтвер може да го снима притисокот на тастатурата на жртвата, да прикажува лажни страници за најавување преку интерфејсите на банкарските апликации, да пресретнува СМС пораки, особено оние што содржат еднократни лозинки (OTP) за банкарските апликации, да им овозможи на напаѓачите далечински да го прегледуваат и контролираат заразениот уред, да извршуваат команди и да затемнуваат екранот за да се скрие злонамерната активност.
DroidBot ги злоупотребува Accessibility Services на Android за да може да следи што прави жртвата на уредот и симулира движења со лизгање и допир.
Меѓу 77-те апликации за кои DroidBot се обидува да ги украде лозинките се Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken и Garanti BBVA.
На корисниците на Android им се препорачува да преземаат апликации само од Google Play, да ги прегледуваат барањата за дозвола по инсталацијата и да проверат дали Play Protect е активен на нивните уреди.