近期,网络安全领域迎来了一次重大发现,网络安全专家团队Cleafy揭露了一种名为DroidBot的新型安卓远程访问木马(RAT),这一发现引起了广泛关注。据悉,该木马最早于10月底被Cleafy的安全研究人员所探测到。
DroidBot木马以其狡猾的传播手段令人震惊。黑客精心伪装木马,将其藏匿于看似无害的Chrome浏览器仿冒版及银行应用之中,并利用搜索引擎的竞价排名机制,将恶意广告推送给用户,诱使他们下载并安装。这一精心策划的陷阱主要瞄准了英国、意大利、法国、西班牙及葡萄牙等国家的77家银行客户。
深入分析显示,DroidBot木马仍处于高速发展阶段,黑客团队正不断为其增添新功能。根据安全公司获取的多个样本,该木马已具备一系列高级功能,包括但不限于VNC隐蔽技术、屏幕覆盖功能、键盘输入记录、后台进程监控、信息拦截、root权限检查、混淆处理及多阶段打包等。这些功能的实现意味着黑客可能正在针对特定用户群体进行定制化攻击,以提升攻击的成功率和效果。
更令人担忧的是,DroidBot木马采用了独特的双重通信机制,增强了黑客的攻击灵活性。木马首先通过MQTT协议将受害设备的数据安全地传输至黑客控制的服务器,随后再利用HTTPS协议将黑客的命令回传至受害设备(C2)。这种流量分离策略不仅提高了攻击的隐蔽性,还使得黑客能够更自由地实施攻击行动。
