Ερευνητές ασφαλείας ανακάλυψαν ένα νέο Android banking malware, με το όνομα «DroidBot», το οποίο έχει σχεδιαστεί για να κλέβει credentials από περισσότερα από 77 crypto exchange apps και τραπεζικές εφαρμογές.
Σύμφωνα με τους ερευνητές της Cleafy, το DroidBot είναι ενεργό από τον Ιούνιο του 2024 και λειτουργεί ως πλατφόρμα malware-as-a-service (MaaS). Οι κυβερνοεγκληματίες μπορούν να το χρησιμοποιήσουν μέσω μιας συνδρομής 3.000 $/μήνα.
Τουλάχιστον 17 ομάδες έχουν χρησιμοποιήσει malware builders για την προσαρμογή των payloads τους για συγκεκριμένους στόχους.
Το DroidBot δεν έχει κάτι ξεχωριστό σε σχέση με άλλα Android banking malware, αλλά η ανάλυση ενός από τα botnet του αποκάλυψε 776 μοναδικές μολύνσεις στο Ηνωμένο Βασίλειο, την Ιταλία, τη Γαλλία, την Τουρκία και τη Γερμανία.
Νέα εικόνα: Πώς ο Κρόνος κρύφτηκε πίσω από το φεγγάρι!
Βόρεια Κορέα: Κλάπηκαν crypto αξίας $ 659 εκατ. το 2024
Το TikTok ετοιμάζεται για κλείσιμο στις ΗΠΑ την Κυριακή;
Δείτε επίσης: TrickMo: Android Banking Malware που επιτίθεται σε χρήστες για κλοπή credentials σύνδεσης
Επίσης, η Cleafy λέει ότι το κακόβουλο λογισμικό φαίνεται να βρίσκεται υπό ανάπτυξη με σκοπό την επέκτασή του σε νέες περιοχές, συμπεριλαμβανομένης της Λατινικής Αμερικής.
DroidBot MaaS
Οι προγραμματιστές του Android banking malware DroidBot, που πιθανότατα είναι Τούρκοι, παρέχουν στους συνεργάτες όλα τα εργαλεία που απαιτούνται για τη διεξαγωγή αποτελεσματικών επιθέσεων. Αυτά τα εργαλεία είναι το malware builder, οι command and control (C2) servers και ένας κεντρικός πίνακας διαχείρισης από τον οποίο οι εγκληματίες μπορούν να ελέγχουν τις λειτουργίες τους, να ανακτούν κλεμμένα δεδομένα και να εκδίδουν εντολές.
Το payload builder επιτρέπει στους affiliates να προσαρμόζουν το DroidBot ώστε να στοχεύουν συγκεκριμένες εφαρμογές, να χρησιμοποιούν διαφορετικές γλώσσες και να ορίζουν άλλες διευθύνσεις διακομιστή C2.
Δείτε επίσης: Google Play: Κακόβουλη εφαρμογή QR reader διένειμε το banking malware Anatsa
Συνολικά, η λειτουργία DroidBot MaaS επιτρέπει σε εγκληματίες με λίγες γνώσεις και δεξιότητες να πραγματοποιήσουν αποτελεσματικές επιθέσεις.
Μίμηση δημοφιλών εφαρμογών
Το Android banking malware DroidBot συχνά μεταμφιέζεται σε δημοφιλείς εφαρμογές, όπως το Google Chrome, το Google Play store ή το «Android Security» για να εξαπατήσει τους χρήστες.
Ωστόσο, σε όλες τις περιπτώσεις, λειτουργεί ως trojan που προσπαθεί να κλέψει ευαίσθητες πληροφορίες από εφαρμογές.
Τα κύρια χαρακτηριστικά του κακόβουλου λογισμικού είναι:
- Keylogging – Καταγραφή πληκτρολόγησης.
- Overlaying – Εμφάνιση ψεύτικων σελίδων σύνδεσης μέσω νόμιμων διεπαφών τραπεζικών εφαρμογών.
- Υποκλοπή SMS – Παραβίαση εισερχόμενων μηνυμάτων SMS, ιδιαίτερα αυτών που περιέχουν κωδικούς πρόσβασης μίας χρήσης (OTP) για τραπεζικές συνδέσεις.
- Virtual Network Computing – Η μονάδα VNC δίνει στους συνεργάτες τη δυνατότητα να προβάλλουν και να ελέγχουν απομακρυσμένα τη μολυσμένη συσκευή, να εκτελούν εντολές και να σκουραίνουν την οθόνη για να αποκρύψουν την κακόβουλη δραστηριότητα.
Επιπλέον, μια βασική πτυχή της λειτουργίας του DroidBot είναι η κατάχρηση των Υπηρεσιών Προσβασιμότητας του Android.
Δείτε επίσης: SoumniBot: Προσοχή! Νέο Android banking malware
Όπως προείπαμε, το DroidBot κλέβει credentials για 77 crypto και banking apps. Μερικά από αυτά τα apps είναι τα: Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken και Garanti BBVA.
Προστασία από κακόβουλες εφαρμογές
Οι χρήστες πρέπει να κατεβάζουν εφαρμογές μόνο από τα επίσημα καταστήματα και να επιβεβαιώνουν πάντα την αυθεντικότητα μιας εφαρμογής πριν την εγκατάσταση. Αυτό μπορεί να γίνει ελέγχοντας τον προγραμματιστή της εφαρμογής και τα σχόλια των χρηστών.
Επιπλέον, οι χρήστες μπορούν να επισκέπτονται τον επίσημο ιστότοπο μιας υπηρεσίας και να βρίσκουν εκεί το link για τη λήψη της εφαρμογής από το κατάστημα εφαρμογών.
Επίσης, είναι σημαντικό να γίνεται έλεγχος των αδειών που ζητούν οι εφαρμογές, ακόμα και αν βρίσκονται σε νόμιμα καταστήματα. Εάν μια εφαρμογή ζητά πρόσβαση σε προσωπικές πληροφορίες που δεν φαίνεται να χρειάζονται για τη λειτουργία της, είναι καλύτερο να αποφύγετε την εγκατάστασή της.
Απαραίτητη είναι και η χρήση αξιόπιστων λογισμικών ασφαλείας και η τακτική ενημέρωση του λειτουργικού συστήματος και των εφαρμογών. Τέλος, οι χρήστες πρέπει να αποφεύγουν την κοινοποίηση των προσωπικών τους πληροφοριών σε αναξιόπιστες πηγές.
Πηγή: www.bleepingcomputer.com