據BleepingComputer消息，一種名為“DroidBot”的新型安卓系統銀行惡意軟件試圖竊取77 家加密貨幣交易所和銀行應用程序的憑證，涉及英國、意大利、法國、西班牙、葡萄牙等多個國家。

據發現惡意軟件的 Cleafy 研究人員稱，DroidBot 自 2024 年 6 月以來一直活躍，并作為惡意軟件即服務 （MaaS） 平臺運行，每月的使用價格為3000美元。

盡管 DroidBot 缺乏任何新穎或復雜的功能，但對其一個僵尸網絡的分析顯示，英國、意大利、法國、土耳其和德國發生了 776 起感染活動，表明其存在顯著活躍的跡象，且該惡意軟件似乎仍在積極開發中。目前，一些比較典型的憑證竊取對象包括Binance、KuCoin、BBVA、Unicredit、Santander、Metamask、BNP Paribas、Credit Agricole、Kraken和Garanti BBVA。

DroidBot 的開發人員可能是土耳其人，為威脅組織提供進行攻擊所需的所有工具，包括惡意軟件構建器、命令和控制 （C2） 服務器以及中央管理面板，可以從目標那里控制其操作、檢索被盜數據和發出命令。通過對一個C2 基礎設施的分析，已有17個威脅組織在使用該惡意軟件。

DroidBot 的后臺面板

有效負載構建器允許威脅組織自定義 DroidBot 以針對特定應用程序、使用不同的語言并設置其他 C2 服務器地址，此外還可以訪問詳細的文檔、獲得惡意軟件創建者的支持，并訪問定期發布更新的 Telegram 頻道。 總而言之，DroidBot MaaS 操作使沒有經驗或技能較低的網絡犯罪分子的進入門檻相當低。

模仿熱門應用

DroidBot 通常偽裝成 Google Chrome、Google Play 商店或“Android Security”，以誘騙用戶安裝惡意應用程序，主要功能包括：

• 鍵盤記錄 – 捕獲受害者輸入的每次擊鍵。
• 疊加 – 在合法的銀行應用程序界面上顯示虛假登錄頁面。
• SMS interception （SMS 攔截）– 劫持傳入的 SMS 消息，尤其是那些包含用于銀行登錄的一次性密碼 （OTP） 的消息。
• 虛擬網絡計算– VNC 模塊使威脅組織能夠遠程查看和控制受感染的設備、執行命令以及使屏幕變暗以隱藏惡意活動。

要實現上述惡意功能，一個關鍵要素也在于DroidBot能夠濫用 Android 的輔助功能服務來監控用戶操作，并代表惡意軟件模擬滑動和點擊。因此，如果用戶安裝的應用程序請求非必要且敏感的權限，應該提高警惕并拒絕相關請求。

此外，建議安卓用戶僅從官方應用商店下載程序，在安裝時仔細檢查權限請求，并確保 Play Protect 在其設備上處于活動狀態。