DroidBot RAT IOCs

remote access Trojan IOC

DroidBot - это продвинутый троянец удаленного доступа (RAT) для Android, который сочетает в себе скрытые VNC и оверлейные методы атаки со шпионскими возможностями, такими как перехват клавиатуры и мониторинг пользовательского интерфейса.

DroidBot RAT

Он использует двухканальную связь, передавая исходящие данные через MQTT и получая входящие команды через HTTPS, что обеспечивает повышенную гибкость и устойчивость к внешним воздействиям. На момент анализа DroidBot атаковал различные организации, включая банки, криптовалютные биржи и национальные организации в странах, таких как Великобритания, Италия, Франция, Испания и Португалия. Отличительной особенностью DroidBot является его адаптивность и продвинутые функции, однако он также продемонстрировал некоторые признаки развития и находится в стадии активной разработки.

DroidBot имеет связь с Турцией, что говорит о тенденции к адаптации тактик и географической направленности. Анализ образцов DroidBot показал, что он используется несколькими аффилированными группами, их данные могут обмениваться через один и тот же MQTT-сервер, что свидетельствует о возможном сотрудничестве между группами. Наблюдаются также несоответствия в функциях DroidBot, что указывает на его постоянное развитие и усовершенствование.

Примечательным является использование DroidBot обычных приманок для установки на устройства жертв. Он маскируется под обычные приложения безопасности, сервисы Google или популярные банковские приложения. Это позволяет злоумышленникам проникать на устройства пользователей и совершать мошеннические действия, такие как кража учетных данных.

DroidBot представляет серьезную угрозу для финансовых учреждений, правительственных организаций и других важных целей в различных регионах. Его продвинутые возможности и активная разработка делают его гибким и мощным инструментом для слежки и кражи данных. Необходимо обратить внимание на его адаптивность и возможный рост в будущем.

Indicators of Compromise

Domains

  • dr0id.best
  • ie721f2d.ala.dedicated.aws.emqxcloud.com
  • k358a192.ala.dedicated.aws.emqxcloud.com

MD5

  • 0137a72f0cb49a73e13b30c91845d42d
  • 2ce47ed9653a9d1e8ad7174831b3b01b
  • 2f66f5bb7d3e8267b01cf1edfbf7384e
  • e6f248c93534d91e51fb079963c4b786
  • fe8d76ba13491c952f7dd1399a7ebf3c
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий