Un nuovo trojan Android, noto come DroidBot, sta prendendo di mira 77 istituzioni bancarie, exchange di criptovalute e organizzazioni nazionali. Questo malware si distingue per le sue tecniche avanzate, come l'attacco VNC nascosto e overlay, unito a capacità simili a spyware, tra cui keylogging e monitoraggio dell'interfaccia utente. DroidBot utilizza una comunicazione a doppio canale, trasmettendo dati attraverso il protocollo MQTT e ricevendo comandi tramite HTTPS, offrendo così una flessibilità operativa e una resilienza superiori.

Cleafy individua DroidBot

Cleafy, un'azienda italiana specializzata nella prevenzione delle frodi, ha identificato DroidBot nel tardo ottobre 2024, ma ci sono prove della sua attività già da giugno dello stesso anno. Funzionando come un servizio di malware (MaaS), il trojan è venduto per un canone mensile di 3.000 dollari. Almeno 17 gruppi affiliati sono stati identificati come utenti paganti di questo servizio, che include l'accesso a un pannello web per la configurazione di file APK personalizzati con il malware e l'interazione con i dispositivi infetti tramite diversi comandi.

Paesi colpiti e tecniche di diffusione

Le campagne che utilizzano DroidBot hanno colpito principalmente paesi come Austria, Belgio, Francia, Italia, Portogallo, Spagna, Turchia e Regno Unito. Le applicazioni malevole vengono mascherate come app di sicurezza generiche, Google Chrome o app bancarie popolari. Il malware sfrutta principalmente i servizi di accessibilità di Android per raccogliere dati sensibili e controllare i dispositivi infetti da remoto, distinguendosi per l'uso di due protocolli differenti per il comando e controllo (C2).

Comunicazione e resilienza

Specificamente, DroidBot impiega HTTPS per i comandi in entrata, mentre i dati in uscita dai dispositivi infetti vengono trasmessi tramite MQTT. Questa separazione dei canali migliora la flessibilità e la resilienza operativa del malware. Gli autori della minaccia rimangono sconosciuti, sebbene un'analisi dei campioni di malware suggerisca che siano parlanti turchi.

Modalità operativa

Nonostante il malware non brilli per innovazione tecnica, la sua modalità operativa è degna di nota, ricordando un modello MaaS, un approccio non comune per questa tipologia di minacce.