Προσοχή: Νέο επικίνδυνο Trojan Android - Κινδυνεύουν οι λογαριασμοί σας

"DroidBot" είναι το όνομα ενός νέου Trojan απομακρυσμένης πρόσβασης (RAT) για το Android για το οποίο προειδοποιούν οι ειδικοί της εταιρείας διαχείρισης και πρόληψης της διαδικτυακής απάτης Cleafy. Το κακόβουλο λογισμικό χρησιμοποιείται πιθανότατα από τον Ιούνιο του 2024.

Η έκθεση των ερευνητών ασφαλείας αναφέρει ότι το "DroidBot" συνδυάζει κρυφές τεχνικές επίθεσης VNC και επικάλυψης με λειτουργίες που μοιάζουν με spyware, όπως keylogging και παρακολούθηση της διεπαφής χρήστη.

Όπως εξηγεί ειδικός σε θέματα ασφάλειας στον κυβερνοχώρο, ο οποίος εργάζεται στον τομέα της ασφάλειας της πληροφορικής εδώ και αρκετές δεκαετίες, «αυτό σημαίνει ότι οι επιτιθέμενοι μπορούν να συνδεθούν σε ένα smartphone εξ αποστάσεως, αλλά χωρίς ο χρήστης να το αντιληφθεί. Ταυτόχρονα, καταγράφονται όλα όσα κάνει ο χρήστης».

"DroidBot": Πώς λειτουργεί το Android Trojan

Σύμφωνα με την ανάλυση της Cleafy, το "DroidBot" χρησιμοποιεί επικοινωνία δύο καναλιών, μεταδίδει εξερχόμενα δεδομένα μέσω του "Message Queuing Telemetry Transport" (MQTT) και λαμβάνει εισερχόμενες εντολές μέσω του Hypertext Transfer Protocol Secure (HTTPS).

Οι επιτιθέμενοι χρησιμοποιούν την ουρά μηνυμάτων για να διασφαλίσουν ότι τα δεδομένα που θέλουν να υποκλέψουν αποθηκεύονται και φτάνουν τακτικά. Το HTTPS είναι "κοινή" πρακτική για τους εγκληματίες του κυβερνοχώρου να στέλνουν σήματα και εντολές σε μολυσμένα συστήματα.
"Αυτό τους καθιστά ευέλικτους, επειδή οι συνδέσεις HTTPS είναι στην πραγματικότητα πάντα εξουσιοδοτημένες. Ταυτόχρονα, η επικοινωνία είναι κρυπτογραφημένη, πράγμα που σημαίνει ότι ουσιαστικά κανείς δεν μπορεί να παρέμβει ή να κοιτάξει μέσα".

Οι ερευνητές ασφαλείας της Cleafy γράφουν ότι το "DroidBot" έχει ήδη αναπτυχθεί σε αρκετές ευρωπαϊκές χώρες, όπως η Ιταλία, η Γαλλία, το Ηνωμένο Βασίλειο και η Γερμανία.

Πώς το "DroidBot" εισβάλει στις συσκευές των θυμάτων

Σύμφωνα με την έκθεση, το "DroidBot" μολύνει τις συσκευές των θυμάτων μέσω του sideloading - δηλαδή της λήψης και εγκατάστασης εφαρμογών μέσω άλλων καναλιών εκτός από τα επίσημα καταστήματα εφαρμογών. Σε αυτό παίζουν ρόλο ξανά και ξανά τα "δολώματα".

Οι ανυποψίαστοι χρήστες χειραγωγούνται, ώστε να κάνουν κλικ σε κακόβουλους συνδέσμους, να ανοίξουν κακόβουλα αρχεία ή να κατεβάσουν λογισμικό από το οποίο θα έπρεπε καλύτερα να κρατήσουν τα χέρια τους μακριά.

Όπως γράφουν οι ερευνητές της Cleafy, το "DroidBot" συνήθως μεταμφιέζεται ως μια γενική εφαρμογή ασφαλείας, υπηρεσία της Google ή δημοφιλής τραπεζική εφαρμογή.

Το "DroidBot" έχει πολλές τρομακτικές λειτουργίες

Μόλις εγκατασταθεί το κακόβουλο λογισμικό, οι εγκληματίες μπορούν να το χρησιμοποιήσουν με διάφορους τρόπους. Για παράδειγμα, το "DroidBot" μπορεί να χρησιμοποιηθεί για την υποκλοπή μηνυμάτων κειμένου. Οι επιτιθέμενοι μπορούν να το χρησιμοποιήσουν για να παρακάμψουν τον έλεγχο ταυτότητας δύο παραγόντων για online banking.

Το keylogging, δηλαδή η σύλληψη ευαίσθητων πληροφοριών που πληκτρολογεί ένας χρήστης σε ένα κινητό τηλέφωνο ή tablet, είναι επίσης δυνατό με το "DroidBot". Ακριβώς όπως και οι επιθέσεις επικάλυψης.

Για παράδειγμα, αν ένα πιθανό θύμα απάτης θέλει να συνδεθεί στο online banking του, εμφανίζεται μια ψεύτικη οθόνη σύνδεσης. Οι εγκληματίες μπορούν να τη χρησιμοποιήσουν για να αποκτήσουν πρόσβαση στα πραγματικά στοιχεία σύνδεσής τους. Όποιος έχει μολυνθεί μπορεί σύντομα να μείνει με έναν άδειο λογαριασμό.
Αυτό που είναι ιδιαίτερα ύπουλο είναι ότι το "DroidBot" λειτουργεί προφανώς ως "σύστημα κακόβουλου λογισμικού ως υπηρεσία". Αυτό σημαίνει ότι οι προγραμματιστές του κακόβουλου λογισμικού, οι οποίοι σύμφωνα με την Cleafy μπορεί να προέρχονται από την Τουρκία, προσφέρουν τις εγκληματικές τους υπηρεσίες έναντι χρημάτων.

"DroidBot": Πώς να αποφύγετε το κακόβουλο λογισμικό στο κινητό σας τηλέφωνο

Όπως αναφέρουν οι ερευνητές ασφαλείας, οι χρήστες λαμβάνουν υποστήριξη από τους προγραμματιστές του κακόβουλου λογισμικού, ακόμη και πρόσβαση σε ένα κανάλι Telegram όπου δημοσιεύονται τακτικά ενημερώσεις. Τα εμπόδια για την είσοδο σε εγκληματικές δραστηριότητες στο Διαδίκτυο γίνονται έτσι ολοένα και χαμηλότερα.

Αν θέλετε να προστατευτείτε από κακόβουλο λογισμικό όπως το "DroidBot", θα πρέπει να αποκτάτε εφαρμογές μόνο από τα επίσημα καταστήματα εφαρμογών και να μην επιτρέπετε σε αγνώστους να σας πιέζουν να εγκαταστήσετε ορισμένες εφαρμογές, να ανοίξετε αρχεία ή να κάνετε κλικ σε αμφίβολους συνδέσμους.

Ο κανόνας είναι: παραμείνετε ψύχραιμοι και είναι προτιμότερο να σκέφτεστε μία φορά παραπάνω παρά μία φορά πολύ λίγο.