Новости

DroidBot: современная троянская программа удалённого доступа

Недавний троян удалённого доступа (RAT) под названием DroidBot был обнаружен и, как выяснилось, атаковал 77 банковских учреждений, криптовалютных бирж и национальных организаций.
DroidBot представляет собой современную RAT-программу, которая сочетает скрытые методы VNC и оверлейных атак с функциями шпионских программ, такими как перехват нажатий клавиш и мониторинг пользовательского интерфейса. Он также использует двухканальную связь, передавая исходящие данные через MQTT и получая входящие команды через HTTPS, что повышает его гибкость и отказоустойчивость.
Итальянская компания по предотвращению мошенничества обнаружила вредоносное ПО в конце октября 2024 года. Полагают, что оно было активно с июня и функционировало по модели «вредоносное ПО как услуга» (MaaS) за ежемесячную плату в размере 3000 долларов.
Было выявлено 17 аффилированных групп, которые платили за доступ к предложению. Они могли изменять конфигурацию и создавать пользовательские APK-файлы с вредоносным ПО, а также взаимодействовать с заражёнными устройствами, отправляя различные команды.
Кампании с использованием DroidBot наблюдались в Австрии, Бельгии, Франции, Италии, Португалии, Испании, Турции и Великобритании. Вредоносное ПО маскировалось под обычные приложения для обеспечения безопасности, Google Chrome или популярные банковские приложения.
Хотя вредоносное ПО в значительной степени полагается на злоупотребление службами специальных возможностей Android для сбора данных и удалённого управления, оно отличается использованием двух разных протоколов для C2-управления (Command and Control).
DroidBot использует HTTPS для входящих команд и протокол обмена сообщениями MQTT для исходящих данных. Это разделение повышает его операционную гибкость и отказоустойчивость.
Точное происхождение злоумышленников неизвестно, хотя анализ образцов вредоносного ПО показал, что они говорят по-турецки.
Исследователи отмечают, что DroidBot может не выделяться с технической точки зрения, но его операционная модель, похожая на MaaS, является редкостью среди подобных угроз.
Мы разрабатываем, внедряем и администрируем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Мы призываем к сотрудничеству компании, которые хотят сохранить безопасность баз данных, бизнес-процессов и другой важной информации.
Оставьте свой контакт на нашей главной странице и мы поможем вам с любым вопросом! Или позвоните сами :)
+7 (343) 222-13-32 — Екатеринбург
+7 978 214 29 87 — Севастополь
Кибератаки