Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware Mobile Malware von DroidBot

Mobile Malware von DroidBot

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:
Deutsch

Eine neue und beunruhigende Android-Banking-Bedrohung namens DroidBot schlägt Wellen, indem sie Kryptowährungsbörsen und Banking-Apps in Großbritannien, Italien, Frankreich, Spanien und Portugal ins Visier nimmt. DroidBot wurde erstmals im Juni 2024 von Cybersicherheitsforschern entdeckt und operiert als Malware-as-a-Service (MaaS)-Plattform und bietet seine bösartigen Fähigkeiten Partnern für satte 3.000 Dollar pro Monat an.

Obwohl DroidBot keine bahnbrechenden Funktionen bietet, ist seine weite Verbreitung und Funktionalität ein Grund zur Sorge. Eine Analyse eines seiner Botnetze ergab 776 einzigartige Infektionen in verschiedenen europäischen Ländern, darunter der Türkei und Deutschland. Die Malware zeigt auch Anzeichen einer Ausbreitung in neue Regionen wie Lateinamerika.

Wie DroidBot MaaS Cyberkriminellen hilft

Die Entwickler von DroidBot, die vermutlich in der Türkei ansässig sind, haben eine MaaS-Plattform entwickelt, die es Cyberkriminellen erleichtert, ausgeklügelte Angriffe durchzuführen. Die Partner erhalten Zugriff auf eine umfassende Suite von Tools, darunter:

  • Ein Malware-Builder zum Anpassen von Payloads für bestimmte Ziele.
  • Command-and-Control (C2)-Server zur Verwaltung von Vorgängen.
  • Ein zentrales Administrationspanel zum Abrufen erfasster Daten und Ausgeben von Befehlen.

Forscher haben 17 Partnergruppen identifiziert, die DroidBot verwenden. Sie alle arbeiten auf einer gemeinsamen C2-Infrastruktur mit eindeutigen Kennungen zur Verfolgung ihrer Aktivitäten. Die Partner erhalten umfangreiche Dokumentation, Support und regelmäßige Updates über einen Telegram-Kanal, wodurch für Angreifer ein System mit geringem Aufwand und hoher Belohnung entsteht.

Tarnung und Täuschung: DroidBots Verkleidungen

Um Benutzergeräte zu infiltrieren, tarnt sich DroidBot oft als legitime Apps, darunter Google Chrome, der Google Play Store oder sogar Android Security Services. Nach der Installation fungiert es als Trojaner und sammelt vertrauliche Informationen aus den Zielanwendungen.

Seine Kernfunktionen ermöglichen Angreifern die Ausführung einer Reihe bösartiger Aktivitäten, beispielsweise:

  • Keylogging : Erfassung aller auf dem infizierten Gerät eingegebenen Tastenanschläge.
  • Overlay-Angriffe : Anzeige gefälschter Anmeldebildschirme über legitimen App-Oberflächen, um Anmeldeinformationen zu sammeln.
  • Abfangen von SMS : Entführen von SMS-Nachrichten, insbesondere solcher, die OTPs für die Anmeldung bei Bankgeschäften enthalten.
  • Fernsteuerung von Geräten : Mithilfe eines VNC-Moduls (Virtual Network Computing) können Partner infizierte Geräte aus der Ferne anzeigen und steuern, Befehle ausführen und ihre Aktionen durch Abdunkeln des Bildschirms verschleiern.

Ausnutzen von Zugänglichkeitsdiensten

DroidBot verlässt sich stark auf die Accessibility Services von Android, eine Funktion, die Benutzern mit Behinderungen dabei helfen soll, Aktionen und simulierte Wisch- oder Tippbewegungen zu überwachen. Dieser Missbrauch unterstreicht, wie wichtig es ist, Apps genau zu prüfen, die bei der Installation ungewöhnliche Berechtigungen anfordern. Wenn eine Anwendung ohne klaren Grund Zugriff auf die Accessibility Services verlangt, sollten Benutzer die Anforderung sofort ablehnen und die App bei Bedarf deinstallieren.

Hochwertige Ziele: Bank- und Kryptoanwendungen

DroidBots Reichweite erstreckt sich auf 77 hochkarätige Kryptowährungs- und Bankanwendungen. Einige bemerkenswerte Ziele sind:

  • Kryptowährungsbörsen: Binance, KuCoin und Kraken.
  • Bankanwendungen: BBVA, Unicredit, Santander, BNP Paribas und Credit Agricole.
  • Digitale Geldbörsen: Metamask.

Diese Anwendungen enthalten vertrauliche Finanzdaten und sind daher ein bevorzugtes Ziel für Cyberkriminelle.

So bleiben Sie geschützt

Um Bedrohungen wie DroidBot einzudämmen, ist ein proaktiver Ansatz erforderlich:

  • Bleiben Sie bei offiziellen Quellen : Laden Sie nur Apps aus dem Google Play Store herunter.
  • Berechtigungen überprüfen : Seien Sie wachsam bei ungewöhnlichen Berechtigungsanfragen, insbesondere wenn diese Eingabehilfedienste betreffen.
  • Play Protect aktivieren : Stellen Sie sicher, dass diese Sicherheitsfunktion auf Ihrem Android-Gerät aktiviert ist.

Durch die Anwendung dieser Praktiken können Benutzer ihre Gefährdung durch Bedrohungen wie DroidBot deutlich reduzieren und die Kontrolle über ihre sensiblen Daten behalten. Da sich DroidBot ständig weiterentwickelt und seine Reichweite vergrößert, ist es weiterhin wichtig, informiert und vorsichtig zu bleiben, um sich gegen seine betrügerischen Taktiken zu verteidigen.

Im Trend

Am häufigsten gesehen

Wird geladen...