Hasta 77 instituciones bancarias, casas de cambio de criptomonedas y organizaciones nacionales, se han convertido en el objetivo de un troyano de acceso remoto (RAT) para Android descubierto recientemente, llamado DroidBot.
«DroidBot es un RAT moderno que combina técnicas de ataque de superposición y VNC oculto con capacidades similares a las del software espía, como el registro de teclas y el monitoreo de la interfaz de usuario», dijeron los investigadores de Cleafy Simone Mattia, Alessandro Strino y Federico Valentini.
«Además, aprovecha la comunicación de doble canal, transmitiendo datos salientes a través de MQTT y recibiendo comandos entrantes a través de HTTPS, lo que proporciona una mayor flexibilidad y resistencia operativa».
La empresa italiana de prevención de fraudes afirmó haber descubierto el malware a finales de octubre de 2024, aunque hay pruebas que sugieren que ha estado activo desde al menos junio, operando bajo un modelo de malware como servicio (MaaS) por una tarifa mensual de 3.000 dólares.
Se han identificado no menos de 17 grupos afiliados que pagan por el acceso a la oferta. Esto también incluye el acceso a un panel web desde donde pueden modificar la configuración para crear archivos APK personalizados que incorporen el malware, así como interactuar con los dispositivos infectados emitiendo varios comandos.
Las campañas que aprovechan DroidBot se han observado principalmente en Austria, Bélgica, Francia, Italia, Portugal, España, Turquía y el Reino Unido. Las aplicaciones maliciosas se disfrazan de aplicaciones de seguridad genéricas, Google Chrome o aplicaciones bancarias populares.
Si bien el malware se basa en gran medida en el abuso de los servicios de accesibilidad de Android para recopilar datos confidenciales y controlar de forma remota los dispositivos infectados, se distingue por aprovechar dos protocolos diferentes de comando y control (C2).
En concreto, DroidBot utiliza HTTPS para los comandos entrantes, mientras que los datos salientes de los dispositivos infectados se transmiten mediante un protocolo de mensajería llamado MQTT.
Se desconoce el origen exacto de los actores de amenazas que están detrás de la operación, aunque un análisis de las muestras de malware ha revelado que son de habla turca.
Info – Ciberseguridad Latam