近期,網(wǎng)絡(luò)安全領(lǐng)域傳來新警報(bào),知名安全企業(yè)Cleafy揭露了一種新型安卓遠(yuǎn)程訪問木馬(RAT),命名為DroidBot。據(jù)稱,這一發(fā)現(xiàn)是在10月末由Cleafy的研究團(tuán)隊(duì)完成的。
黑客利用精心偽裝的Chrome瀏覽器和銀行應(yīng)用作為誘餌,巧妙地在搜索引擎中投放廣告,通過競價(jià)排名機(jī)制提高曝光率,誘使不明真相的用戶下載并安裝這些惡意軟件。其目標(biāo)直指英國、意大利、法國、西班牙及葡萄牙的77家銀行客戶,企圖實(shí)施網(wǎng)絡(luò)攻擊。
經(jīng)過深入分析,Cleafy的研究人員發(fā)現(xiàn),DroidBot木馬不僅活躍于當(dāng)前的網(wǎng)絡(luò)環(huán)境中,還正處于積極的開發(fā)升級階段。黑客團(tuán)隊(duì)持續(xù)為其增添新功能,以增強(qiáng)其攻擊力和隱蔽性。目前,該木馬已具備VNC隱蔽、屏幕覆蓋、鍵盤記錄、后臺監(jiān)控、信息攔截、root權(quán)限檢測、代碼混淆處理及多階段打包等復(fù)雜功能。這些特性表明,黑客可能正針對特定用戶群體進(jìn)行細(xì)致入微的定制,以期達(dá)到最佳的攻擊效果。
尤為值得關(guān)注的是,DroidBot采用了一種創(chuàng)新的雙重通信機(jī)制。它首先通過MQTT協(xié)議,將受害設(shè)備的數(shù)據(jù)安全地傳輸至黑客控制的服務(wù)器;隨后,利用HTTPS協(xié)議接收黑客的指令并傳回至受害設(shè)備(即C2服務(wù)器)。這種巧妙的進(jìn)出流量分離策略,為黑客提供了更為靈活多變的攻擊手段,使其能夠更有效地躲避安全檢測和防御措施。