มัลแวร์ Android ตัวใหม่ ชื่อ “DroidBot” กำลังโจมตีแอปพลิเคชันธนาคารและคริปโตกว่า 77 รายการ
ในเดือนตุลาคม 2024 ทีม Cleafy Threat Intelligence & Response (TIR) ได้ค้นพบและวิเคราะห์มัลแวร์ใหม่ประเภท Android Remote Access Trojan (RAT) ชื่อ “DroidBot” ซึ่งมีการตรวจพบกิจกรรมย้อนหลังไปถึงเดือนมิถุนายน 2024 มัลแวร์นี้ถูกพัฒนาและดำเนินการโดยกลุ่มผู้ไม่หวังดีจากตุรกี โดยมีเป้าหมายโจมตีสถาบันการเงินและองค์กรต่าง ๆ ในหลายประเทศ รวมถึงสหราชอาณาจักร อิตาลี ฝรั่งเศส สเปน และโปรตุเกส
DroidBot เป็นมัลแวร์ที่มีความสามารถหลากหลาย รวมถึงการเข้าถึงอุปกรณ์จากระยะไกลผ่าน VNC มัลแวร์ประเภท Android Remote Access Trojan (RAT) ที่ซับซ้อน ซึ่งถูกพัฒนาโดยกลุ่มผู้ไม่ประสงค์ดีจากตุรกี โดยใช้เทคนิคขั้นสูง เช่น การขโมยข้อมูลด้วยการจับคีย์ (keylogging), การดักจับ SMS, การแสดงหน้าเข้าสู่ระบบปลอม (overlay attack), และการควบคุมอุปกรณ์จากระยะไกลผ่าน Accessibility Services มัลแวร์นี้ยังใช้โปรโตคอล MQTT และ HTTPS เพื่อสื่อสารกับเซิร์ฟเวอร์ C2 และหลีกเลี่ยงการตรวจจับ โดยมุ่งเป้าไปที่ธนาคารและองค์กรคริปโตในหลายประเทศ รวมถึงสหราชอาณาจักร อิตาลี ฝรั่งเศส สเปน และโปรตุเกส
ราการแสดงสรุป TTP เบื้องหลังแคมเปญ DroidBot:
| First Evidence | Mid-2024 |
|---|---|
| State | Active |
| Affected Entities | Retail banking |
| Target OSs | Android |
| Target Countries | DE, FR, IT, TK, UK, ES, PT |
| Infected Chain | Side-loading via Social Engineering |
| Fraud Scenario | On-Device Fraud (ODF) |
| Preferred Cash-Out | Data not available |
| Amount handled (per transfer) | Data not available |
IOC
| Hash | App name |
|---|---|
| fe8d76ba13491c952f7dd1399a7ebf3c | Chrome |
| 2ce47ed9653a9d1e8ad7174831b3b01b | Chrome |
| e6f248c93534d91e51fb079963c4b786 | Google Play Store |
| 0137a72f0cb49a73e13b30c91845d42d | Chrome |
| 2f66f5bb7d3e8267b01cf1edfbf7384e | e-ifade |
C2 servers:
| Domains |
|---|
| dr0id[.]best |
| k358a192.ala.dedicated.aws.emqxcloud[.]com |
| ie721f2d.ala.dedicated.aws.emqxcloud[.]com |
Affiliated/botnet:
| Names | |
|---|---|
| client0 | zoouzz |
| azzouz | antrax |
| malankov | baykpriv |
| giulloit | mars |
| terror | gaspar |
| ro | bayk |
| rustbridge | turkfriend |
| pussy1, pussy2, pussy3, pussy4, etc. | rustbridge2 |
| cms12 | |
ที่มา
https://www.bleepingcomputer.com/news/security/new-droidbot-android-malware-targets-77-banking-crypto-apps/
https://www.cleafy.com/cleafy-labs/droidbot-insights-from-a-new-turkish-maas-fraud-operation
Fomodailys คือแหล่งข้อมูลข่าวสารที่ครบวงจรสำหรับ Cryptocurrency มุ่งเน้นการนำเสนอเนื้อหาที่น่าเชื่อถือและเข้าใจง่าย เพื่อช่วยให้ทุกคนสามารถก้าวเข้าสู่ยุคใหม่ของการเงินและเทคโนโลยี
