安卓木馬 DroidBot 曝光,瞄準 77 家海外銀行客戶下手

IT之家 12 月 10 日消息,網絡安全公司Cleafy發佈報告,聲稱他們在10月下旬發現了一種名爲DroidBot的安卓遠程訪問木馬(RAT)。

IT之家獲悉,黑客主要將木馬包裝在僞造的 Chrome 瀏覽器、銀行應用中,通過競價排名等方式在搜索引擎中刊載廣告,誘騙受害者下載,以向英國、意大利、法國、西班牙和葡萄牙的77家銀行客戶發動攻擊。

研究人員經過調查發現,DroidBot仍處於積極開發階段,黑客目前仍然在爲這款木馬添加更多功能,根據安全公司掌握的多個惡意軟件樣本,目前該木馬已實現 VNC隱蔽、屏幕覆蓋、鍵盤輸入記錄、後臺進程監控、信息攔截、root權限檢查、不同比例的混淆處理、多階段打包等功能,這表明黑客可能正針對一部分特定用戶進行專門適配,以取得更好的攻擊效果。

DroidBot另一顯著特點是採用雙重通信機制,該木馬先通過MQTT協議將受害設備的數據傳至黑客架設的服務器,然後通過 HTTPS協議將黑客命令傳回受害者設備(C2),這種進出流量分離的策略允許黑客進行更靈活的攻擊活動。