DroidBot - это продвинутый троянец удаленного доступа (RAT) для Android, который сочетает в себе скрытые VNC и оверлейные методы атаки со шпионскими возможностями, такими как перехват клавиатуры и мониторинг пользовательского интерфейса.
DroidBot RAT
Он использует двухканальную связь, передавая исходящие данные через MQTT и получая входящие команды через HTTPS, что обеспечивает повышенную гибкость и устойчивость к внешним воздействиям. На момент анализа DroidBot атаковал различные организации, включая банки, криптовалютные биржи и национальные организации в странах, таких как Великобритания, Италия, Франция, Испания и Португалия. Отличительной особенностью DroidBot является его адаптивность и продвинутые функции, однако он также продемонстрировал некоторые признаки развития и находится в стадии активной разработки.
DroidBot имеет связь с Турцией, что говорит о тенденции к адаптации тактик и географической направленности. Анализ образцов DroidBot показал, что он используется несколькими аффилированными группами, их данные могут обмениваться через один и тот же MQTT-сервер, что свидетельствует о возможном сотрудничестве между группами. Наблюдаются также несоответствия в функциях DroidBot, что указывает на его постоянное развитие и усовершенствование.
Примечательным является использование DroidBot обычных приманок для установки на устройства жертв. Он маскируется под обычные приложения безопасности, сервисы Google или популярные банковские приложения. Это позволяет злоумышленникам проникать на устройства пользователей и совершать мошеннические действия, такие как кража учетных данных.
DroidBot представляет серьезную угрозу для финансовых учреждений, правительственных организаций и других важных целей в различных регионах. Его продвинутые возможности и активная разработка делают его гибким и мощным инструментом для слежки и кражи данных. Необходимо обратить внимание на его адаптивность и возможный рост в будущем.
Indicators of Compromise
Domains
- dr0id.best
- ie721f2d.ala.dedicated.aws.emqxcloud.com
- k358a192.ala.dedicated.aws.emqxcloud.com
MD5
- 0137a72f0cb49a73e13b30c91845d42d
- 2ce47ed9653a9d1e8ad7174831b3b01b
- 2f66f5bb7d3e8267b01cf1edfbf7384e
- e6f248c93534d91e51fb079963c4b786
- fe8d76ba13491c952f7dd1399a7ebf3c