研究人员警告说,至少有 17 个附属团体使用“DroidBot”Android 银行木马攻击了欧洲的 77 家金融服务公司,未来还会有更多公司。
新闻简报
一种被称为“DroidBot”的凶猛 Android 远程访问木马 (RAT) 正在使用键盘记录和监控等间谍软件功能以及入站和出站数据传输,从银行、加密货币交易所和其他国家组织窃取数据。但网络安全分析师对 DroidBot 银行木马的真正担忧是它显然扩展到了全面的恶意软件即服务操作。
根据 Cleafy 的一份报告,这一发现背后的研究人员警告说,DroidBot RAT 自 2024 年年中以来一直活跃,并且已经在至少 17 个附属团体中大量轮换,并已被用于对法国、意大利、葡萄牙和西班牙组织的 77 次网络攻击 。此外,有证据表明 DroidBot Android 银行木马正在不断更新,并且可能正处于蔓延到拉丁美洲的边缘。
分析显示,这些开发人员的母语是土耳其语,但已经开始扩展到西班牙语国家,研究人员表示,这表明该业务打算扩展到中美洲和南美洲。
“在多个样本中观察到的不一致表明,该恶意软件仍在积极开发中,”报告称。“这些不一致包括占位符功能,例如根检查、不同级别的混淆和多阶段解包。这种变化表明,人们正在努力提高恶意软件的有效性,并针对特定环境进行定制。
Android 银行木马即服务出现
研究人员表示,为了放弃 DroidBot,攻击者将恶意软件隐藏在恶意银行应用程序和其他无处不在的应用程序中,这并不是什么新鲜事。
据研究人员称,RAT 的新颖之处在于使用了监控工具,包括 SMS 消息拦截、键盘记录和定期捕获受害者设备的屏幕截图。该恶意软件还利用辅助功能服务允许威胁行为者远程执行命令并操作受害者的设备。
“此外,它利用双通道通信,通过 MQTT 传输出站数据,通过 HTTPS 接收入站命令,提供增强的操作灵活性和弹性,”报告解释说。“最近采用此协议的 Android 银行木马示例包括 Copybara 和 BRATA/AmexTroll。”
撇开技术规格不谈,Cleafy 研究人员还发出警告,似乎是新的银行 RAT-as-a-service 商业模式的兴起是威胁形势的重大转变。
报告称:“尽管技术难度不是那么高,但真正令人担忧的点在于这种新的分发和隶属模式,它将把对攻击面的监控提升到一个全新的水平。“这可能是一个关键点,因为改变如此重要数据集的规模可能会显着增加认知负荷。”
信息来源:https://www.darkreading.com/threat-intelligence/trojan-service-hits-euro-banks-crypto-exchanges
AI API 安全 DMARC 中国 云安全 五角大楼 人工智能 关税 加密货币 勒索软件 品牌冒充 国家安全 威胁情报 应用程序安全 恶意软件 数字货币 时事政治 时政 时政新闻 木马病毒 欺诈管理和网络犯罪 欺骗 民族国家攻击 漏洞和威胁 特朗普政府 社会工程学 社会工程学、网络战 移动安全 端点安全 缺口 网络安全 网络安全运营 网络攻击和数据泄露 网络犯罪 网络罪犯 网络钓鱼 网络间谍 网络风险 美国贸易代表办公室 联邦贸易委员会 脆弱性 金融与银行 间谍软件 阿联酋 骗局