近期,网络安全领域传来新警报,知名安全企业Cleafy揭露了一种新型安卓远程访问木马(RAT),命名为DroidBot。据称,这一发现是在10月末由Cleafy的研究团队完成的。
黑客利用精心伪装的Chrome浏览器和银行应用作为诱饵,巧妙地在搜索引擎中投放广告,通过竞价排名机制提高曝光率,诱使不明真相的用户下载并安装这些恶意软件。其目标直指英国、意大利、法国、西班牙及葡萄牙的77家银行客户,企图实施网络攻击。
经过深入分析,Cleafy的研究人员发现,DroidBot木马不仅活跃于当前的网络环境中,还正处于积极的开发升级阶段。黑客团队持续为其增添新功能,以增强其攻击力和隐蔽性。目前,该木马已具备VNC隐蔽、屏幕覆盖、键盘记录、后台监控、信息拦截、root权限检测、代码混淆处理及多阶段打包等复杂功能。这些特性表明,黑客可能正针对特定用户群体进行细致入微的定制,以期达到最佳的攻击效果。
尤为值得关注的是,DroidBot采用了一种创新的双重通信机制。它首先通过MQTT协议,将受害设备的数据安全地传输至黑客控制的服务器;随后,利用HTTPS协议接收黑客的指令并传回至受害设备(即C2服务器)。这种巧妙的进出流量分离策略,为黑客提供了更为灵活多变的攻击手段,使其能够更有效地躲避安全检测和防御措施。
