安卓木馬 DroidBot 曝光，包裝成仿冒軟件瞄準(zhǔn) 77 家海外銀行客戶下手

IT之家 12 月 10 日消息，網(wǎng)絡(luò)安全公司 Cleafy 發(fā)布報(bào)告，聲稱他們?cè)?nbsp;10 月下旬發(fā)現(xiàn)了一種名為 DroidBot 的安卓遠(yuǎn)程訪問木馬（RAT）。

IT之家獲悉，黑客主要將木馬包裝在偽造的 Chrome 瀏覽器、銀行應(yīng)用中，通過競(jìng)價(jià)排名等方式在搜索引擎中刊載廣告，誘騙受害者下載，以向英國(guó)、意大利、法國(guó)、西班牙和葡萄牙的 77 家銀行客戶發(fā)動(dòng)攻擊。

研究人員經(jīng)過調(diào)查發(fā)現(xiàn)，DroidBot 仍處于積極開發(fā)階段，黑客目前仍然在為這款木馬添加更多功能，根據(jù)安全公司掌握的多個(gè)惡意軟件樣本，目前該木馬已實(shí)現(xiàn) VNC 隱蔽、屏幕覆蓋、鍵盤輸入記錄、后臺(tái)進(jìn)程監(jiān)控、信息攔截、root 權(quán)限檢查、不同比例的混淆處理、多階段打包等功能，這表明黑客可能正針對(duì)一部分特定用戶進(jìn)行專門適配，以取得更好的攻擊效果。

DroidBot 另一顯著特點(diǎn)是采用雙重通信機(jī)制，該木馬先通過 MQTT 協(xié)議將受害設(shè)備的數(shù)據(jù)傳至黑客架設(shè)的服務(wù)器，然后通過 HTTPS 協(xié)議將黑客命令傳回受害者設(shè)備（C2），這種進(jìn)出流量分離的策略允許黑客進(jìn)行更靈活的攻擊活動(dòng)。

廣告聲明：文內(nèi)含有的對(duì)外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。