Експерти з кібербезпеки компанії Cleafy виявили нову серйозну загрозу для користувачів Android-пристроїв – банківський троян DroidBot. Шкідливе програмне забезпечення націлене на компрометацію 77 популярних фінансових та криптовалютних додатків, включаючи такі відомі платформи як Binance, KuCoin, BBVA, Unicredit, Santander та Metamask.
Бізнес-модель та географія поширення загрози
DroidBot функціонує за моделлю malware-as-a-service (MaaS), надаючи кіберзлочинцям доступ до шкідливої інфраструктури за щомісячну передплату в розмірі 3000 доларів США. Аналітики підтверджують активне використання трояна щонайменше 17 хакерськими угрупованнями, які застосовують спеціалізовані білдери для налаштування шкідливого ПЗ під власні цілі. Основна активність DroidBot зафіксована в європейських країнах – Великій Британії, Італії, Франції, Іспанії та Португалії.
Технічні характеристики та механізми інфікування
Хоча троян не використовує революційних технічних рішень, його ефективність підтверджується статистикою: в одному з виявлених ботнетів зафіксовано 776 унікальних випадків зараження. DroidBot маскується під легітимні системні додатки, такі як Google Chrome, Play Store або Android Security, що дозволяє йому отримувати розширені права доступу до пристрою жертви.
Основні шкідливі можливості DroidBot:
– Кейлогінг для перехоплення конфіденційних даних
– Створення фішингових накладок поверх легітимних додатків
– Перехоплення SMS-повідомлень для обходу двофакторної автентифікації
– Віддалений контроль пристрою через VNC-модуль
– Зловживання функціями спеціальних можливостей Android
Організація інфраструктури та технічна підтримка
За даними дослідників, розробники DroidBot базуються в Турції та надають своїм клієнтам повний набір інструментів, включаючи білдер шкідливого ПЗ, керуючі сервери та панель адміністрування. Система унікальних ідентифікаторів для кожної групи користувачів дозволила аналітикам відстежити активність різних зловмисників у межах єдиної інфраструктури.
Для захисту від DroidBot та аналогічних загроз фахівці з кібербезпеки наполегливо рекомендують встановлювати додатки виключно з офіційного магазину Google Play та ретельно аналізувати запитувані дозволи. Важливо зазначити, що троян активно розвивається, розширюючи географію атак на нові регіони, зокрема країни Латинської Америки. Користувачам рекомендується регулярно оновлювати системи безпеки та використовувати надійні антивірусні рішення для захисту своїх пристроїв.
