Một loại trojan truy cập từ xa (RAT) mới trên Android, có tên là DroidBot, đã được phát hiện nhắm mục tiêu vào 77 tổ chức ngân hàng, sàn giao dịch tiền điện tử, và các tổ chức quốc gia.
Phần mềm độc hại này, được thiết kế tinh vi, sử dụng các kỹ thuật như tấn công phủ lớp, ghi lại phím bấm, và giám sát giao diện người dùng để thu thập thông tin nhạy cảm từ nạn nhân.
Theo các nhà nghiên cứu từ Cleafy, DroidBot tận dụng giao thức giao tiếp kênh đôi, truyền dữ liệu ra ngoài thông qua MQTT và nhận lệnh vào thông qua HTTPS để tăng tính linh hoạt và độ bền trong hoạt động.
MQTT, một giao thức nhắn tin phổ biến, được DroidBot tổ chức thành các “chủ đề” giúp quản lý các loại giao tiếp giữa thiết bị bị nhiễm và cơ sở hạ tầng của kẻ tấn công. Điều này giúp phần mềm độc hại hoạt động hiệu quả hơn và khó bị phát hiện.
DroidBot cũng lợi dụng các dịch vụ trợ năng trên Android để điều khiển thiết bị từ xa và thu thập thông tin cá nhân, biến nó thành một công cụ gián điệp mạnh mẽ.
DroidBot hoạt động theo mô hình Malware-as-a-Service (MaaS), cung cấp dịch vụ phần mềm độc hại với mức phí hàng tháng là 3.000 USD. Không dưới 17 nhóm tội phạm mạng đã trả tiền để sử dụng dịch vụ này, bao gồm quyền truy cập vào bảng điều khiển web để tùy chỉnh tệp APK chứa phần mềm độc hại và kiểm soát thiết bị bị nhiễm.
Các chiến dịch sử dụng DroidBot đã được phát hiện tại nhiều quốc gia châu Âu như Áo, Bỉ, Pháp, Ý, Bồ Đào Nha, Tây Ban Nha, Thổ Nhĩ Kỳ, và Vương quốc Anh. Phần mềm độc hại thường ngụy trang dưới dạng các ứng dụng bảo mật, Google Chrome, hoặc các ứng dụng ngân hàng phổ biến, khiến người dùng dễ bị lừa tải xuống.
Mặc dù nguồn gốc của kẻ tấn công vẫn chưa rõ ràng, nhưng các phân tích cho thấy nhóm này có thể là người nói tiếng Thổ Nhĩ Kỳ. Dù không nổi bật về mặt kỹ thuật, DroidBot thu hút sự chú ý nhờ mô hình hoạt động theo kiểu MaaS, điều hiếm thấy trong các loại trojan Android.
DroidBot là minh chứng cho sự phát triển ngày càng tinh vi của phần mềm độc hại trên nền tảng Android. Với khả năng hoạt động mạnh mẽ và mô hình dịch vụ, loại trojan này đặt ra mối đe dọa lớn cho các tổ chức tài chính và người dùng cá nhân.
Nguồn: The hacker news