Hasta 77 instituciones bancarias, intercambios de criptomonedas y organizaciones nacionales se han convertido en el objetivo de un troyano de acceso remoto (RAT) de Android recientemente descubierto llamado DroidBot.
“DroidBot es un RAT moderno que combina VNC oculto y técnicas de ataque de superposición con capacidades similares a las del software espía, como el registro de teclas y la supervisión de la interfaz de usuario”, afirman los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini. dicho.
“Además, aprovecha la comunicación de doble canal, transmitiendo datos salientes a través de MQTT y recibir comandos entrantes a través de HTTPS, lo que proporciona mayor flexibilidad y resistencia operativa”.
La empresa italiana de prevención de fraudes dijo que descubrió el malware a finales de octubre de 2024, aunque hay evidencia que sugiere que ha estado activo desde al menos junio, operando bajo un modelo de malware como servicio (MaaS) por una tarifa mensual de $3,000.
Se han identificado no menos de 17 grupos de afiliados que pagan por el acceso a la oferta. Esto también incluye el acceso a un panel web desde donde pueden modificar la configuración para crear archivos APK personalizados que incorporen el malware, así como interactuar con los dispositivos infectados emitiendo varios comandos.
Se han observado campañas que aprovechan DroidBot principalmente en Austria, Bélgica, Francia, Italia, Portugal, España, Turquía y el Reino Unido. Las aplicaciones maliciosas están disfrazadas de aplicaciones de seguridad genéricas, Google Chrome o aplicaciones bancarias populares.
Si bien el malware se basa en gran medida en abusar de los servicios de accesibilidad de Android para recopilar datos confidenciales y controlar de forma remota el dispositivo Android, se destaca por aprovechar dos protocolos diferentes de comando y control (C2).
Específicamente, DroidBot emplea HTTPS para los comandos entrantes, mientras que los datos salientes de los dispositivos infectados se transmiten mediante un protocolo de mensajería llamado MQTT.
“Esta separación mejora su flexibilidad operativa y resiliencia”, dijeron los investigadores. “El corredor MQTT utilizado por DroidBot está organizado en temas específicos que categorizan los tipos de comunicación intercambiados entre los dispositivos infectados y la infraestructura C2”.
Se desconocen los orígenes exactos de los actores de amenazas detrás de la operación, aunque un análisis de las muestras de malware ha revelado que hablan turco.
“El malware presentado aquí puede no brillar desde un punto de vista técnico, ya que es bastante similar a familias de malware conocidas”, señalaron los investigadores. “Sin embargo, lo que realmente destaca es su modelo operativo, que se parece mucho a un esquema de malware como servicio (MaaS), algo que no se ve comúnmente en este tipo de amenaza”.
About the Author
