DroidBot es un troyano de acceso remoto (RAT) avanzado de Android que se dirige a 77 organizaciones diferentes, incluidas agencias estatales, intercambios de criptomonedas y bancos.
Se han observado campañas activas en países como Reino Unido, Italia, Francia, España y Portugal, lo que indica la posibilidad de extenderse a América Latina.
Los investigadores descubrieron e investigaron este nuevo troyano de acceso remoto (RAT) de Android a finales de octubre de 2024. Tras la evaluación, se descubrieron síntomas de esta amenaza que se remontan a junio de 2024.
Después de analizar la muestra de DroidBot, también se descubrió su infraestructura de malware como servicio (MaaS), y se identificaron 17 organizaciones asociadas diferentes y se les asignaron identificadores únicos.
Descripción general del malware DroidBot
DroidBot es un sofisticado troyano de acceso remoto (RAT) de Android con características que se encuentran comúnmente en VNC oculto tradicional y software espía superpuesto.
“Incluye keyloggers y rutinas de monitoreo que permiten interceptar las interacciones de los usuarios, lo que lo convierte en una poderosa herramienta contra la vigilancia y el robo de credenciales”, afirmó el equipo de Clafy TIR.
Seminario web gratuito sobre las mejores prácticas de pruebas de penetración y vulnerabilidad de API: registro gratuito
El sistema de comunicación de doble canal de DroidBot es una de sus características únicas. Los comandos entrantes, como los parámetros de destino de superposición, se reciben a través de HTTPS y los datos salientes del dispositivo comprometido se envían mediante el protocolo MQTT (Message Queue Telemetry Transport). Esta separación aumenta la flexibilidad y robustez operativa.
Según la información encontrada en las muestras de malware, incluidos archivos de configuración y cadenas de depuración, los investigadores creen que la mayoría de los desarrolladores hablan turco.
Este malware también parece estar en desarrollo activo. Algunas características (como la ofuscación, las comprobaciones del emulador y el desempaquetado en varias etapas) difieren entre las muestras, mientras que otras, como la comprobación de raíz, son marcadores de posición que aún no se han implementado correctamente.
“La combinación de capacidades de monitoreo avanzadas, comunicación de doble canal, lista diversa de objetivos e infraestructura MaaS activa resalta la sofisticación y adaptabilidad de DroidBot”, dijeron los investigadores.
“A medida que este malware evoluciona, plantea una amenaza cada vez mayor para las instituciones financieras, agencias gubernamentales y otros objetivos de alto valor en múltiples geografías”.
TTP detrás de la campaña DroidBot
Los atacantes utilizan señuelos comunes que se ven comúnmente en las campañas de distribución de malware bancario para engañar a las víctimas para que descarguen e instalen DroidBot.
En este caso, el malware se hace pasar por una conocida aplicación bancaria, un servicio de Google o una aplicación de seguridad común.
Señuelos comunes utilizados en campañas de DroidBot
Las operaciones maliciosas de DroidBot se basan principalmente en la explotación de los servicios de accesibilidad, y DroidBot parece estar desarrollado utilizando el marco B4A, que se usa ampliamente en aplicaciones nativas de Android.
Vale la pena señalar que B4A se utiliza con frecuencia en malware creado por TA brasileño, como la familia Brata y su famosa variante CopyBara.
Las características del malware bancario para Android incluyen:
Intercepción de SMS: monitorea los mensajes SMS entrantes, que las instituciones financieras suelen utilizar para proporcionar números de autorización de transacciones (TAN).
Registro de teclas: utiliza servicios de accesibilidad para robar datos personales, como saldos de cuentas, credenciales de inicio de sesión e información personal.
Ataque de superposición: se muestra una página de inicio de sesión falsa para robar credenciales válidas.
Rutinas similares a VNC: tome capturas de pantalla del dispositivo de la víctima y proporcione a los actores de amenazas información visual continua que les permita comprender el comportamiento del dispositivo en tiempo real.
Interacción de pantalla: permite el control remoto de un dispositivo comprometido y ejecuta comandos que imitan acciones del usuario, como presionar botones, completar formularios y navegar por aplicaciones.
En el campo del cibercrimen, los desarrolladores de malware utilizan un modelo de negocio conocido como malware como servicio (MaaS) para vender software y servicios peligrosos a otros ciberdelincuentes.
El análisis de la configuración del malware y la infraestructura de comando y control (C2) de DroidBot reveló signos de una red MaaS privada.
Publicación en el foro que promociona un nuevo bot de Android
Droidbot ofrece un paradigma bien conocido pero menos utilizado en el ámbito de las amenazas móviles.
Si bien los desafíos técnicos son modestos, el nuevo modelo de distribución y afiliación genera serias preocupaciones, ya que aumenta significativamente la vigilancia de la superficie de ataque.
Los investigadores dicen que este puede ser un aspecto importante, ya que cambiar el tamaño de conjuntos de datos tan grandes puede generar cargas cognitivas mucho mayores.
Esto puede generar una sobrecarga significativa para los equipos antifraude de las instituciones financieras si los sistemas de monitoreo en tiempo real no los respaldan de manera efectiva.
Analice ataques de phishing y malware del mundo real con ANY.RUN: obtenga hasta 3 licencias gratuitas
