Novi Android trojanac: DroidBot

DroidBot je sofisticirani Android trojanac za daljinski pristup (eng. Remote Access Trojan – RAT) sa karakteristikama sličnim špijunskom softveru, prvenstveno usmjeren na bankarske aplikacije, berze kriptovaluta i različite nacionalne entitete. Zlonamjerni softver je aktivan od sredine 2024. godine i otkriven je od strane firme za sprečavanje prevara Cleafy.

DroidBot

Novi Android trojanac: DroidBot; Source: Bing Image Creator

DROIDBOT

DroidBot nije tipičan trojanac za daljinski pristup – RAT; on kombinuje tehnike skrivenog VNC alata za daljinski pristup i napada sa preklapanjem sa mogućnostima sličnim špijunskom softveru, kao što je praćenje korisničkog unosa (eng. keylogging) i praćenje korisničkog interfejsa. To ga čini nevjerovatno moćnim alatom za nadzor i krađu akreditiva. Jedinstveni dvokanalni komunikacioni sistem zlonamjernog softvera je jedna od njegovih istaknutih karakteristika, sa ulaznim komandama primljenim preko HTTPS protokola i odlaznim podacima sa kompromitovanih uređaja koji se šalju korištenjem Message Queuing Telemetry Transport – MQTT protokola. Ovo razdvajanje povećava operativnu fleksibilnost i otpornost.

Zlonamjerni softver za sada cilja na 77 banaka, berzi kriptovaluta i nacionalnih subjekata, a među aplikacijama su između ostalog istaknuti novčanici za kriptovalute kao što su Binance, KuCoin, Metamask, Kraken, kao i bankarske aplikacije kao što su Santander, BBVA, Unicredit, BNP Paribas, Credit Agricole i Garanti BBVA.

 

Karakteristike

Ovaj zlonamjerni softver funkcioniše prema modelu zlonamjerni softver kao usluga (eng. Malware-as-a-Service – MaaS), sa čak 17 različitih pridruženih grupa (eng. affiliate groups) koje su identifikovali sigurnosni istraživači, od kojih su svakoj dodijeljen jedinstveni identifikatori koji sugerišu da više operatera dijele istu infrastrukturu. Operacija pruža pridruženim grupama alatku za pravljenje koja im omogućava da prilagode zlonamjerni softver za određene mete i nudi daljinsku kontrolu uređaja, prikupljanje akreditiva i napade ubrizgavanjem korištenjem centralizovane kontrole preko komandne i kontrolne (eng. command-and-control – C2) table.

Kreatori DroidBot zlonamjernog softvera promovišu svoj proizvod na forumima koji govore ruski ističući funkcije kao što su automatizovani sistemi prenosa (eng. automated transfer systems – ATS) i daljinska kontrola uređaja za 3.000 američkih dolara mjesečno. Analiza procurjelih objava na Telegram platformi i snimaka ekrana otkriva snažnu vezu sa turskim programerima, na šta ukazuju jezička podešavanja i geolocirani metapodaci.

DroidBot zlonamjerni softver koristi mješavinu uobičajenih i neuobičajenih tehnika u prostoru Android zlonamjernog softvera. Nakon instalacije, on zahteva dozvole za uslugu pristupačnosti, što mu omogućava da presreće unos korisnika, kontroliše ekrane i izvršava napade preklapanja. Zlonamjerni softver takođe koristi dvokanalnu komunikaciju za poboljšanu fleksibilnost i otpornost rada: izlazni podaci se prenose preko MQTT protokola dok primaju ulazne komande preko HTTPS protokola.

Jedna od jedinstvenih karakteristika DroidBot zlonamjernog softvera je njegova sposobnost da presreće SMS poruke, posebno ciljajući brojeve za autentifikaciju transakcija (eng. transaction authentication numbers – TAN) koje koriste banke i finansijske institucije u svrhe autentifikacije u dva koraka. Ovo omogućava zlonamjernim akterima da dobiju neovlašteni pristup nalozima žrtava i izvrše lažne transakcije. Pored toga, DroidBot zlonamjerni softver može da snima zvuk sa mikrofona ili da uhvati osjetljive informacije sa ekrana, uključujući akreditive, periodično praveći snimke ekrana i daljinski kontroliše kompromitovane uređaje kako bi izvršio komande i simulirao interakciju korisnika.

Zlonamjerni softver je prerušen u bezbjednosne i bankarske aplikacije ili Google usluge, što otežava korisnicima da otkriju njegovo prisustvo na svojim uređajima. Da bi dodatno izbjegao detekciju, DroidBot koristi različite tehnike zamagljivanja kao što su šifrovani korisni tereti (eng. payloads) i dinamičko učitavanje kôda. Takođe koristi mjere protiv otklanjanja grešaka kao što je provjera naziva procesa program za otklanjanje grešaka (eng. debugger) i samoprekid ako ga otkrije.

 

Uticaj

Sigurnosni istraživači su otkrili DroidBot zlonamjerni softver krajem oktobra 2024. godine, ali je istraživanje pokazalo da je on aktivan najmanje od juna. Ovo ukazuje na značajan period neotkrivene aktivnosti, tokom kojeg je DroidBot možda kompromitovao brojne uređaje i ukrao osjetljive podatke od nesuđenih žrtava.

Sama činjenica da cilja na 77 banaka, berzi kriptovaluta i nacionalnih subjekata i najmanje 17 pridruženih grupa plaća pristup ovoj prijetnji, što ukazuje na njenu široku upotrebu i potencijal za veliku štetu u sektoru digitalnih finansija. Zlonamjerni softver prvenstveno utiče na korisnike u Evropi, posebno u Francuskoj, Italiji, Španiji, Turskoj, Velikoj Britaniji, Portugalu, a potencijalno se širi i na Latinsku Ameriku, a to ga čini značajnom prijetnjom finansijskoj bezbjednosti širom sveta.

 

ZAKLJUČAK

DroidBot zlonamjerni softver je moćan alat za nadzor zbog svog praćenja unosa korisnika, rutina nadgledanja, skrivenih VNC mogućnosti, tehnika preklapanja napada i dvokanalnog komunikacionog sistema. Njegov rad prema modelu zlonamjerni softver kao usluga (MaaS) omogućava mu da istovremeno cilja više organizacija, što ga čini stalnom prijetnjom koja zahteva stalnu budnost kako korisnika tako i istraživača bezbjednosti.

Korisnicima se savjetuje da budu oprezni prilikom instaliranja aplikacija, da preuzimaju softver samo iz pouzdanih izvora i da svoje uređaje ažuriraju najnovijim bezbjednosnim ispravkama. Pored toga, neophodno je da finansijske institucije budu svjesne ove prijetnje i preduzmu odgovarajuće mjere da zaštite osjetljive informacije svojih klijenata. Primjenom robusnih bezbjednosnih strategija i oprezom protiv novih prijetnji kao što je DroidBot zlonamjerni softver, moguće je smanjiti uticaj ovih napada na pojedince i organizacije.

 

ZAŠTITA

U današnjem digitalnom dobu, ključno je za svakog korisnika i organizaciju imati svjesnost o potencijalu prijetnji kao što je DroidBot zlonamjerni softver i da se preduzimaju neophodne mjere predostrožnosti za zaštitu podataka. U nastavku će biti nekoliko preporuka za zaštitu od DroidBot Android trojanca za daljinski pristup – RAT i sličnog zlonamjernog softvera:

  1. Preuzimati aplikacije samo iz zvaničnih izvora kao što je Google Play Ovo osigurava preuzimanje legitimnog softvera, a ne zlonamjerne verzije prerušenu u nešto drugo. Uvijek biti primjenjivati oprez sa prodavnicama aplikacija trećih strana ili nezvaničnim vezama za preuzimanje,
  2. Pažljivo pregledati dozvole za aplikacije, posebno one koje zahtevaju usluge pristupačnosti. Biti oprezan kada se aplikaciji odobrava pristup osjetljivim informacijama ili funkcijama na uređaju. Ako se zahtijevana dozvola čini nepotrebnom za predviđenu svrhu aplikacije, možda bi bilo najbolje izbjeći instaliranje te konkretne aplikacije,
  3. Redovno ažurirati uređaj. Ažuriranja često uključuju ispravke za bezbjednosne propuste i mogu pomoći u zaštiti od prijetnji kao što je DroidBot zlonamjerni softver. Uvjeriti se da su automatska ažuriranja omogućena ili često provjeravati da li postoje nova ažuriranja,
  4. Koristiti jake lozinke za bankarstvo, račune za kriptovalute i druge osjetljive aplikacije. Složene lozinke koje sadrže mješavinu slova (i velikih i malih), brojeva i simbola teže je razbiti nego jednostavne riječi ili fraze. Razmisliti o korištenju menadžera lozinki za generisanje složenih, jakih i dugih lozinki, kao i za njihovo bezbjedno čuvanje,
  5. Omogućiti autentifikaciju u dva koraka kad god je to moguće. Autentifikacija u dva koraka dodaje još jedan sloj bezbjednosti tako što od korisnika zahteva da obezbijede i svoju lozinku i drugi oblik verifikacije (kao što je kôd poslat putem tekstualne poruke) pre pristupa osjetljivim informacijama ili obavljanja određenih radnji na uređaju,
  6. Primjenjivati oprez prilikom klikova na veze, posebno u elektronskoj pošti ili porukama iz nepoznatih izvora. Zlonamjerne veze mogu da odvedu do zaraženih internet lokacija ili da omoguće preuzimanje zlonamjernog softvera na uređaj bez znanja korisnika. Ako nešto izgleda sumnjivo, ne klikati na na vezu i umjesto toga kontaktirajte pošiljaoca direktno preko pouzdanog metoda komunikacije u cilju dodatne provjere,
  7. Redovno nadgledati naloge zbog neuobičajenih aktivnosti. Ovo uključuje redovnu provjeru bankovnih izvoda, računa kreditnih kartica i stanja novčanika za kriptovalute kako bi se osiguralo da nema neovlaštenih transakcija ili povlačenja. Ako se primijeti nešto sumnjivo, odmah to prijaviti nadležnim organima i preduzimati korake za zaštitu naloga,
  8. Instalirati renomiranu mobilnu bezbjednosnu aplikaciju na uređaj. Ove aplikacije mogu pomoći u otkrivanju zlonamjernog softvera, zaštiti od phishing napada i pružiti dodatne funkcije kao što su mogućnosti daljinskog brisanja u slučaju gubitka ili krađe uređaja,
  9. Preporučljivo je biti informisan o novim dešavanjima u sajber bezbjednosti, uključujući novonastale prijetnje od zlonamjernog softvera kao što je DroidBot, prateći renomirane bezbjednosne istraživače i organizacije na društvenim medijima ili pretplatom na njihove biltene. Ovo će pomoći da korisnici i organizacije budu svjesni najnovijih prijetnji i da mogu da preduzmu odgovarajuće mjere za zaštitu od njih.

Prateći ove preporuke, korisnici i organizacije mogu značajno smanjiti rizik da postanu žrtve DroidBot zlonamjernog softvera i sličnih prijetnji. Praktikovati oprez prilikom korištenja aplikacija i uvijek davati prednost bezbjednosti u odnosu na udobnost. Lični podaci i finansijsko blagostanje zavise od toga!

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.