Cybersicherheitsforscher von Cleafy haben eine neue kritische Bedrohung für Android-Nutzer identifiziert: Den Banking-Trojaner DroidBot. Diese hochentwickelte Schadsoftware hat es auf 77 populäre Finanz- und Kryptowährungs-Anwendungen abgesehen, darunter führende Plattformen wie Binance, KuCoin, BBVA, Unicredit und Santander.
Malware-as-a-Service: Das Geschäftsmodell hinter DroidBot
DroidBot operiert nach dem lukrativen Malware-as-a-Service (MaaS)-Modell. Cyberkriminelle können gegen eine monatliche Gebühr von 3.000 US-Dollar Zugang zur Malware-Infrastruktur erwerben. Analysen zeigen, dass bereits mindestens 17 verschiedene kriminelle Gruppierungen spezialisierte Builder nutzen, um den Trojaner für ihre spezifischen Angriffsziele anzupassen. Die Hauptaktivitäten konzentrieren sich derzeit auf Westeuropa, insbesondere Großbritannien, Italien, Frankreich, Spanien und Portugal.
Technische Funktionalität und Infektionsmethoden
Der Trojaner tarnt sich als legitime Anwendung wie Google Chrome, Play Store oder Android Security, um Zugriff auf Zielsysteme zu erlangen. Trotz des Verzichts auf bahnbrechende technische Innovationen erzielt DroidBot bemerkenswerte Erfolge – in einem einzelnen identifizierten Botnetz wurden 776 eindeutige Infektionen nachgewiesen.
Zentrale Angriffsfunktionen von DroidBot
Die Malware verfügt über ein umfangreiches Arsenal an Angriffswerkzeugen:
– Keylogging zur Erfassung von Eingabedaten
– Overlay-Angriffe durch gefälschte App-Oberflächen
– SMS-Interceptor für Zwei-Faktor-Authentication
– VNC-Modul zur Fernsteuerung
– Missbrauch der Accessibility Services
Infrastruktur und Support-System
Nach Erkenntnissen der Sicherheitsforscher wird DroidBot von Entwicklern aus der Türkei betrieben. Das Komplettpaket umfasst einen Malware-Builder, Command-and-Control-Server sowie ein Admin-Panel. Durch die Zuweisung eindeutiger Identifikatoren an verschiedene Angreifergruppen konnten die Analysten die Aktivitäten unterschiedlicher Threat Actor innerhalb der gemeinsamen Infrastruktur nachverfolgen.
Um sich vor DroidBot und ähnlichen Bedrohungen zu schützen, wird dringend empfohlen, Apps ausschließlich aus dem Google Play Store zu installieren und Berechtigungsanfragen kritisch zu prüfen. Die Malware befindet sich in aktiver Entwicklung und expandiert bereits in neue Regionen, besonders nach Lateinamerika. Angesichts der professionellen Infrastruktur und des MaaS-Modells ist mit einer weiteren Zunahme der Angriffe zu rechnen. Unternehmen und Privatnutzer sollten ihre mobilen Sicherheitsmaßnahmen entsprechend anpassen und verstärken.
