Поделиться
Дорогостоящий троянец под Android атакует десятки банков и криптобирж
Новый вредонос под названием DroidBot способен обчищать кошельки клиентов 77 банков и криптобирж. Вредонос предлагается в аренду за $3000 в месяц.
Крепкие комбинаторы
Эксперты компании Cleafy опубликовали исследование сравнительно нового RAT-вредоноса под названием DroidBot, который способен атаковать почти восемьдесят финансовых учреждений, в том числе криптовалютных бирж.
Вредонос комбинирует сразу несколько методик атак, в том числе скрытый удаленный доступ (VNC), перекрывание дисплея устройства поддельными окнами, перехватом нажатия клавиш и мониторинг пользовательского интернфейса.
«Более того, он, вредонос, использует двухканальный обмен данными, передавая исходящую информацию через MQTT, а входящие команды получая через HTTPS. Тем самым обеспечивается дополнительная гибкость действий и устойчивость (против попыток удаления)», - пишут исследователи.
MQTT - это протокол обмена данными между различными аппаратными устройствами. Он широко применяется, помимо прочего, в сфере интернета вещей. Использование его - на пару с HTTPS - для управления вредоносными программами наблюдается, однако, впервые.
Дорогого стоит
Вредонос был обнаружен всего лишь в октябре этого года, хотя по некоторым признакам можно судить, что его начали применять не позднее июня.
DroidBot предлагается по модели «вредонос-как-услуга» (MaaS), по сути - сдается в аренду за $3000 в месяц.
«По сегодняшним меркам это немало», - говорит Анастасия Мельникова, директор по информационной безопасности компании SEQ. «С другой стороны, этот «продукт» ориентирован на профессиональных киберзлоумышленников, которые зарабатывают значительно больше, и, стало быть, могут себе позволить такие инвестиции. Особенно, в эффективный инструмент».
Уже известно минимум о 17 группировках, которые арендуют DroidBot. Создатели вредоноса предоставляют им также доступ к веб-панели настроек, с помощью которой можно создавать специализированные APK (дистрибутивы приложений под Android) со встроенным в них вредоносным кодом, и направлять инструкции уже установленным на конечные устройства программам.
К настоящему времени атаки с использованием зараженных DroidBot приложений наблюдаются в Австрии, Бельгии, Франции, Италии, Португалии, Испании, Турции и Великобритании. Конечные приложения выдаются за программы для защиты смартфона от кибератак, за популярные клиентские программы для банков и даже за браузер Google Chrome.
Исследовавшие сэмплы вредоноса эксперты считают, что родным языком его создателей является турецкий.
Поделиться
Короткая ссылка
