安卓木馬DroidBot曝光：瞄準(zhǔn)海外77家銀行，黑客手段再升級

近期，網(wǎng)絡(luò)安全領(lǐng)域迎來了一次重大發(fā)現(xiàn)，網(wǎng)絡(luò)安全專家團隊Cleafy揭露了一種名為DroidBot的新型安卓遠(yuǎn)程訪問木馬（RAT），這一發(fā)現(xiàn)引起了廣泛關(guān)注。據(jù)悉，該木馬最早于10月底被Cleafy的安全研究人員所探測到。

DroidBot木馬以其狡猾的傳播手段令人震驚。黑客精心偽裝木馬，將其藏匿于看似無害的Chrome瀏覽器仿冒版及銀行應(yīng)用之中，并利用搜索引擎的競價排名機制，將惡意廣告推送給用戶，誘使他們下載并安裝。這一精心策劃的陷阱主要瞄準(zhǔn)了英國、意大利、法國、西班牙及葡萄牙等國家的77家銀行客戶。

深入分析顯示，DroidBot木馬仍處于高速發(fā)展階段，黑客團隊正不斷為其增添新功能。根據(jù)安全公司獲取的多個樣本，該木馬已具備一系列高級功能，包括但不限于VNC隱蔽技術(shù)、屏幕覆蓋功能、鍵盤輸入記錄、后臺進程監(jiān)控、信息攔截、root權(quán)限檢查、混淆處理及多階段打包等。這些功能的實現(xiàn)意味著黑客可能正在針對特定用戶群體進行定制化攻擊，以提升攻擊的成功率和效果。

更令人擔(dān)憂的是，DroidBot木馬采用了獨特的雙重通信機制，增強了黑客的攻擊靈活性。木馬首先通過MQTT協(xié)議將受害設(shè)備的數(shù)據(jù)安全地傳輸至黑客控制的服務(wù)器，隨后再利用HTTPS協(xié)議將黑客的命令回傳至受害設(shè)備（C2）。這種流量分離策略不僅提高了攻擊的隱蔽性，還使得黑客能夠更自由地實施攻擊行動。