Posted inCyberBezpieczeństwo

DroidBot: Nowe zagrożenie na Android

DroidBot: Nowe zagrożenie na Android

Cyberprzestępcy ciągle rozwijają narzędzia, które umożliwiają im na wykradanie danych użytkowników. DroidBot to przykład zagrożenia typu MaaS (Malware-as-a-Service), które jest przeznaczone na urządzenia z systemem Android. DroidBot jest częścią szerszej działalności cyberprzestępczej z Turcji i stanowi istotne zagrożenie dla klientów banków oraz organizacji finansowych.

Pod koniec października 2024r. zespół Cleafy TIR odkrył i przeanalizował nowe zagrożenie dla systemów Android. Jak się później okazało, ślady tego zagrożenia sięgają czerwca 2024r.

DroidBot atakuje obecnie 77 celów – instytucje bankowe, giełdy krypto i organizacje krajowe. Kampanie zaobserwowano w Wielkiej Brytanii, Włoszech, Francji, Hiszpani i Portugalii. Zdaniem badaczy, na podstawie informacji pozyskanych z badanych próbek można przypuszczać, że większość twórców tego oprogramowania to osoby mówiące po turecku.

Jak wygląda taki atak?

Zagrożenia takie jak to, wykorzystują techniki socjotechniczne i złośliwe oprogramowanie w celu przejęcia danych uwierzytelniających oraz manipulacji sesjami. DroidBot dostaje się na urządzenia ofiar, udając prawidłowe aplikacje. Zawiera on keyloggera i procedury, dzięki którym jest w stanie przechwytywać interakcję użytkownika.

Aby nakłonić ofiarę do pobrania i instalacji aplikacji, jest ona zamaskowana jako ogólna aplikacja zabezpieczająca, usługi Google lub aplikacje bankowe.

Źródło: https://www.cleafy.com/

DroidBot oferuje wiele funkcji:

  1. Przejmuje kontrolę nad urządzeniem: odczytuje wszystkie dane wprowadzane przez użytkownika i wyświetlane na ekranie.
  2. Kradzież danych logowania: stosuje tzw. overlay attack, nakładając fałszywe strony logowania na prawdziwe aplikacje bankowe.
  3. Zrzuty ekranu: aplikacja okresowo wykonuje zrzuty ekranu.
  4. Przechwytuje kody uwierzytelniające (2FA): dzięki dostępowi do SMS-ów i powiadomień.
  5. Automatyzacja: dokonuje nieautoryzowanych transferów środków nawet bez wiedzy użytkownika.

Jak się chronić?

  1. Regularnie aktualizuj wersję aplikacji
  2. Nie instaluj aplikacji z nieznanych źródeł
  3. Instaluj tylko potrzebne aplikacje
  4. Zwracaj uwagę na uprawnienia aplikacji – zzytnik QR nie potrzebuje dostępu do SMSów 🙂
  5. Aktualizuj system regularnie

DroidBot jest dowodem na to, jak dynamicznie rozwija się przemysł złośliwego oprogramowania. Ochrona przed takim zagrożeniem wymaga zarówno odpowiednich narzędzi, ale przede wszystkim świadomości użytkowników na temat ryzyk.

Więcej szczegółów znajdziesz w pełnym raporcie Cleafy Labs: Cleafy DroidBot Report

Tags: