Специалисты компании Cleafy обнаружили новую угрозу для пользователей Android-устройств — банковский троян DroidBot, нацеленный на кражу учетных данных из 77 популярных криптовалютных и банковских приложений. Среди потенциальных целей вредоноса такие крупные сервисы как Binance, KuCoin, BBVA, Unicredit, Santander, Metamask и другие ведущие финансовые платформы.
Особенности распространения и монетизации DroidBot
DroidBot функционирует по модели malware-as-a-service (MaaS), предоставляя злоумышленникам доступ к вредоносной инфраструктуре за ежемесячную подписку в размере 3000 долларов США. По данным исследователей, не менее 17 хакерских группировок уже используют специальные билдеры для настройки этой угрозы под свои цели. Основная активность трояна зафиксирована в Великобритании, Италии, Франции, Испании и Португалии.
Технические возможности и механизмы работы
Несмотря на отсутствие принципиально новых технических решений, DroidBot демонстрирует высокую эффективность: только в одном из обнаруженных ботнетов выявлено 776 уникальных случаев заражения. Вредонос маскируется под легитимные приложения, такие как Google Chrome, Play Store или Android Security, для получения доступа к устройствам жертв.
Ключевой функционал трояна:
— Кейлоггинг для перехвата вводимых данных
— Наложение поддельных окон поверх легитимных приложений
— Перехват SMS-сообщений
— Модуль VNC для удаленного управления устройством
— Злоупотребление функциями Accessibility Services
Инфраструктура и техническая поддержка
Исследователи полагают, что разработчики DroidBot базируются в Турции. Они предоставляют клиентам полный набор инструментов, включая билдер малвари, управляющие серверы и доступ к административной панели. Каждой группе присваивается уникальный идентификатор, что позволило аналитикам отследить активность различных злоумышленников в рамках единой инфраструктуры.
Для защиты от DroidBot и подобных угроз специалисты рекомендуют устанавливать приложения исключительно из официального магазина Google Play и внимательно проверять запрашиваемые разрешения. Важно отметить, что на данный момент троян находится в активной разработке, и география его атак расширяется, охватывая новые регионы, включая страны Латинской Америки.
