Un nuovo e sofisticato trojan bancario per Android, denominato DroidBot, è stato scoperto a fine ottobre 2024 dal team di ricerca Cleafy TIR. Il malware, attivo almeno da giugno 2024, combina tecniche di attacco VNC nascosto e overlay con funzionalità di spyware, prendendo di mira 77 diverse entità tra cui banche, exchange di criptovalute e organizzazioni nazionali in paesi come Regno Unito, Italia, Francia, Spagna e Portogallo.
DroidBot rappresenta una minaccia emergente nel panorama del cybercrime, sfruttando un sistema di comunicazione dual-channel basato su MQTT e HTTPS per garantire flessibilità operativa e resilienza. L'analisi ha rivelato collegamenti con la Turchia e un'infrastruttura Malware-as-a-Service (MaaS) con almeno 17 gruppi di affiliati identificati.
Il malware si camuffa da app di sicurezza generiche, servizi Google o popolari applicazioni bancarie per ingannare le vittime e farsi installare. Una volta ottenuti i permessi di accessibilità, DroidBot è in grado di:
- Intercettare SMS
- Registrare i tasti premuti (keylogging)
- Effettuare attacchi di tipo overlay
- Eseguire routine simili a VNC con screenshot periodici
- Controllare remotamente il dispositivo infetto
La comunicazione con i server di comando e controllo (C2) avviene tramite il protocollo MQTT per l'esfiltrazione dei dati e HTTPS per ricevere comandi. Questa separazione dei canali aumenta la flessibilità e la resilienza del malware.
L'analisi ha rivelato che DroidBot opera come parte di un'infrastruttura Malware-as-a-Service (MaaS). Gli autori offrono il malware e i relativi servizi ad "affiliati" o "operatori di botnet" dietro pagamento di un abbonamento mensile di $3000.
Sono stati identificati almeno 17 gruppi di affiliati, ciascuno con un identificatore univoco. Alcuni di questi gruppi sembrano collaborare o partecipare a sessioni dimostrative delle capacità del malware.
DroidBot prende di mira principalmente utenti in Europa, con un focus su quattro nazioni:
- Francia
- Italia
- Spagna
- Turchia
L'analisi di un singolo botnet ha rivelato 776 dispositivi infetti unici, con il Regno Unito come paese più colpito. Altri paesi interessati includono Italia, Francia, Turchia e Germania.
Le inconsistenze osservate tra i vari campioni indicano che DroidBot è ancora in fase di sviluppo attivo. Alcune funzionalità sono presenti solo come placeholder, mentre altre variano tra i campioni in termini di offuscamento e controlli anti-emulatore.
Nonostante sia ancora in evoluzione, il malware ha già dimostrato il suo potenziale prendendo di mira con successo utenti in diversi paesi europei. Ci sono inoltre indicazioni di una possibile espansione verso regioni dell'America Latina linguisticamente simili.
Sebbene DroidBot non presenti particolari innovazioni tecniche rispetto ad altre famiglie di malware note, ciò che lo rende preoccupante è il suo modello operativo basato su MaaS. Questo approccio potrebbe elevare significativamente il monitoraggio della superficie di attacco, mettendo a dura prova i team anti-frode delle istituzioni finanziarie.
La sofisticazione di DroidBot, unita alla sua infrastruttura MaaS e al potenziale di espansione geografica, lo rende una minaccia emergente da monitorare attentamente nel panorama delle minacce mobili.