近期,網絡安全領域迎來了一次重大發現,網絡安全專家團隊Cleafy揭露了一種名為DroidBot的新型安卓遠程訪問木馬(RAT),這一發現引起了廣泛關注。據悉,該木馬最早于10月底被Cleafy的安全研究人員所探測到。
DroidBot木馬以其狡猾的傳播手段令人震驚。黑客精心偽裝木馬,將其藏匿于看似無害的Chrome瀏覽器仿冒版及銀行應用之中,并利用搜索引擎的競價排名機制,將惡意廣告推送給用戶,誘使他們下載并安裝。這一精心策劃的陷阱主要瞄準了英國、意大利、法國、西班牙及葡萄牙等國家的77家銀行客戶。
深入分析顯示,DroidBot木馬仍處于高速發展階段,黑客團隊正不斷為其增添新功能。根據安全公司獲取的多個樣本,該木馬已具備一系列高級功能,包括但不限于VNC隱蔽技術、屏幕覆蓋功能、鍵盤輸入記錄、后臺進程監控、信息攔截、root權限檢查、混淆處理及多階段打包等。這些功能的實現意味著黑客可能正在針對特定用戶群體進行定制化攻擊,以提升攻擊的成功率和效果。
更令人擔憂的是,DroidBot木馬采用了獨特的雙重通信機制,增強了黑客的攻擊靈活性。木馬首先通過MQTT協議將受害設備的數據安全地傳輸至黑客控制的服務器,隨后再利用HTTPS協議將黑客的命令回傳至受害設備(C2)。這種流量分離策略不僅提高了攻擊的隱蔽性,還使得黑客能夠更自由地實施攻擊行動。
