安卓4 VPN 无密钥
E安全消息,Cleafy威胁情报和响应(TIR)团队最新揭露了DroidBot,一种复杂的Android远程访问木马(RAT),与土耳其恶意软件即服务(MaaS)操作有关。
DroidBot具有先进的功能,正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动,移动恶意软件威胁显著升级。
DroidBot于2024年6月首次被发现,它结合了高级功能,包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录,使其成为设备欺诈的强大工具。
“DroidBot是一种高级的Android远程访问木马(RAT)……具有通常与间谍软件相关的特性,能够拦截用户交互和窃取凭证。”Cleafy报告指出安卓4 VPN 无密钥。
该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体,有迹象表明其正在扩展到拉丁美洲。
Cleafy强调,“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合,突显了DroidBot的复杂性和适应性。”
与传统的恶意软件活动不同,DroidBot作为恶意软件即服务(MaaS)运营,允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符,一个Telegram频道宣传DroidBot的功能,每月3000美元的费用。
“DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说,并强调了这种方法提供的可扩展性和覆盖范围。
DroidBot通过社会工程策略分发,伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作,包括:
值得注意的是,DroidBot将MQTT用于其命令和控制(C2)基础设施,这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。
Cleafy的分析表明,DroidBot仍在积极开发中,具有占位符函数和不同级别的样本混淆。
调试字符串和恶意软件配置等证据表明,其开发人员是土耳其语使用者,针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。
DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。
正如Cleafy警告的那样,“真正的担忧点在于这种新的分发和合作模式,这将把攻击面的监控提升到一个全新的水平。”