Il malware DroidBot prende di mira banche e organizzazioni nazionali in tutta Europa

Gli analisti della sicurezza di Cleafy hanno scoperto un sofisticato Trojan di Accesso Remoto Android (RAT) chiamato DroidBot, identificato come parte di un’operazione di Malware-as-a-Service (MaaS) originaria della Turchia.

Rintracciato per la prima volta a giugno 2024 e osservato attivamente in ottobre, DroidBot dimostra capacità avanzate e un crescente impatto geografico, in particolare in Europa.

DroidBot è un tipo di spyware che combina metodi come l’accesso a schermate nascoste e finti schermi di accesso per rubare dati personali. Invia i dati rubati attraverso un metodo progettato per dispositivi intelligenti e riceve comandi attraverso siti web sicuri, rendendolo più difficile da rilevare.

Alcuni dei suoi trucchi includono la registrazione di ciò che digiti per catturare le password, la creazione di finti schermi di accesso per rubare le tue informazioni, l’acquisizione di screenshot del tuo telefono per spiare la tua attività e persino il controllo remoto del tuo telefono per imitare le tue azioni.

Si avvale dei Servizi di Accessibilità di Android, che gli utenti spesso concedono inconsapevolmente durante l’installazione. Travestito da innocue applicazioni come strumenti di sicurezza o app bancarie, DroidBot inganna le persone inducendole a scaricarlo.

DroidBot prende di mira 77 organizzazioni, tra cui banche, scambi di criptovalute e entità nazionali. Le campagne sono state osservate nel Regno Unito, in Francia, in Spagna, in Italia e in Portogallo, con indicazioni di espansione in America Latina.

Le preferenze linguistiche nel codice e nell’infrastruttura del malware suggeriscono sviluppatori di lingua turca.

Si nota uno sviluppo in corso, con incongruenze nei controlli root, nei livelli di offuscamento e nei processi di decompressione tra i vari campioni. Queste variazioni indicano sforzi per perfezionare il malware e adattarlo a diversi ambienti.

DroidBot opera all’interno di un framework MaaS, dove gli affiliati pagano per l’accesso alla sua infrastruttura. Cleafy ha identificato 17 gruppi affiliati che utilizzano lo stesso server MQTT, indicando una collaborazione o dimostrazioni delle capacità del malware.

Pubblicizzato su forum di hacking russi, il servizio include funzioni avanzate come i Sistemi di Trasferimento Automatico (ATS) per la frode finanziaria e costa agli affiliati $3.000 al mese.

La sofisticatezza di DroidBot, supportata da routine di crittografia e comunicazione basata su MQTT, lo posiziona come una minaccia informatica significativa. Il suo modello MaaS, lo sviluppo continuo e la capacità di eludere l’autenticazione a due fattori suscitano preoccupazioni per le istituzioni finanziarie e i governi.

Man mano che DroidBot continua a evolversi, gli esperti di sicurezza sottolineano la necessità di vigilanza e misure di protezione potenziate per le organizzazioni nelle regioni interessate.