Ameaça cibernética

Trojan Android mira bancos e bolsas de Criptomoedas

O DroidBot, um trojan Android de US$ 3.000 (R$ 15.000), mira bancos e bolsas de criptomoedas, utilizando técnicas de spyware e controle remoto. Saiba mais sobre esse ataque cibernético.

Imagem do Android vermelha

Um novo trojan Android, chamado DroidBot, tem como alvo cerca de 77 instituições bancárias, bolsas de criptomoedas e organizações governamentais em uma série de ataques cibernéticos. Esse malware avançado, que opera no modelo Malware como Serviço (MaaS), é oferecido por US$ 3.000 mensais (cerca de R$ 18.000) e é projetado para comprometer dispositivos móveis e roubar dados confidenciais.

Trojan Android ataca Bancos e Bolsas de Criptomoedas

Imagem com celular com malware na tela

O DroidBot é um Remote Access Trojan (RAT) altamente sofisticado, que usa uma combinação de técnicas de ataque ocultas, como VNC e sobreposição de tela, além de recursos típicos de spyware, como keylogging e monitoramento da interface do usuário. Através dessa combinação, o malware é capaz de controlar dispositivos Android remotamente, coletar informações sensíveis e até mesmo gravar as ações dos usuários.

O DroidBot se destaca pela utilização de dois protocolos de comunicação diferentes para o comando e controle (C2) de dispositivos infectados. Ele emprega HTTPS para os comandos de entrada e MQTT para transmitir os dados de saída dos dispositivos comprometidos. Essa separação entre os protocolos aumenta a flexibilidade e resiliência do malware, tornando-o mais difícil de ser detectado e neutralizado.

Modelo de Operação MaaS

Descoberto em outubro de 2024, o DroidBot está ativo desde junho de 2024, operando como parte de um modelo de Malware como Serviço (MaaS). Isso significa que os criminosos podem pagar uma taxa mensal para acessar o painel de controle do DroidBot, onde podem criar versões personalizadas do malware e lançar ataques em dispositivos de vítimas em diversos países, incluindo Áustria, Bélgica, França, Itália, Portugal, Espanha, Turquia e Reino Unido.

O malware é disfarçado de aplicativos legítimos, como programas de segurança ou aplicativos bancários populares. Assim, os usuários são levados a instalar o trojan sem saber que estão comprometendo seus dispositivos com um software malicioso.

Grupos Ameaçados

Até o momento, 17 grupos afiliados a este esquema criminoso foram identificados. Eles pagam pelo acesso ao serviço MaaS do DroidBot, o que permite que eles personalizem o malware e executem comandos remotamente nos dispositivos infectados. Embora o DroidBot em si não seja tecnicamente inovador, seu modelo operacional como MaaS é o que o torna especialmente preocupante.

Conclusão

Embora o DroidBot compartilhe características com outras famílias de malware conhecidas, seu modelo de operação e a forma como é oferecido como serviço destacam-no de outros trojans Android. Para organizações e indivíduos, é essencial estar ciente dessa ameaça e tomar medidas para proteger seus dispositivos móveis contra ataques de malware como o DroidBot.