MÜNCHEN (IT BOLTWISE) – Ein neuer Android-Trojaner namens DroidBot hat es auf Banken und Kryptowährungsbörsen abgesehen und sorgt für Aufsehen in der Sicherheitsbranche.
- News von IT Boltwise® bei LinkedIn abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- Neue Meldungen bequem per eMail via Newsletter erhalten!
- IT Boltwise® bei Facebook als Fan markieren!
- RSS-Feed 2.0 von IT Boltwise® abonnieren!
In der Welt der Cybersicherheit gibt es ständig neue Bedrohungen, die Unternehmen und Privatpersonen gleichermaßen herausfordern. Eine der jüngsten Entdeckungen ist der Android-Trojaner DroidBot, der sich auf Banken und Kryptowährungsbörsen konzentriert. Dieser Trojaner nutzt moderne Techniken wie versteckte VNC- und Overlay-Angriffe, kombiniert mit Funktionen, die an Spionagesoftware erinnern, um sensible Daten zu stehlen und Geräte fernzusteuern.
Besonders bemerkenswert an DroidBot ist seine Fähigkeit, zwei verschiedene Protokolle für die Steuerung und Kommunikation zu verwenden. Während eingehende Befehle über HTTPS empfangen werden, erfolgt die Übertragung von Daten über das Messaging-Protokoll MQTT. Diese Trennung erhöht die Flexibilität und Widerstandsfähigkeit des Trojaners erheblich.
Die italienische Firma Cleafy, die sich auf Betrugsprävention spezialisiert hat, entdeckte DroidBot im Oktober 2024. Obwohl der Trojaner erst kürzlich identifiziert wurde, gibt es Hinweise darauf, dass er bereits seit Juni aktiv ist. Er wird als Malware-as-a-Service (MaaS) angeboten, was bedeutet, dass verschiedene Gruppen gegen eine monatliche Gebühr von 3.000 US-Dollar Zugang zu ihm erhalten können.
Die Angriffe mit DroidBot wurden hauptsächlich in Ländern wie Österreich, Belgien, Frankreich, Italien, Portugal, Spanien, der Türkei und dem Vereinigten Königreich beobachtet. Die bösartigen Apps tarnen sich als generische Sicherheitsanwendungen, Google Chrome oder beliebte Banking-Apps, um Nutzer zu täuschen.
Ein weiteres bemerkenswertes Merkmal von DroidBot ist seine Nutzung der Accessibility Services von Android, um sensible Daten zu sammeln und Geräte aus der Ferne zu steuern. Diese Dienste werden oft von Malware missbraucht, um Zugriff auf Benutzeroberflächen und Eingaben zu erhalten, was DroidBot besonders gefährlich macht.
Die Herkunft der Bedrohungsakteure, die hinter DroidBot stehen, ist noch unbekannt. Eine Analyse der Malware-Proben hat jedoch gezeigt, dass die Entwickler Türkisch sprechen. Dies könnte auf eine geografische Verbindung hinweisen, die weitere Untersuchungen erfordert.
Obwohl DroidBot technisch nicht unbedingt herausragend ist, hebt sich sein Betriebsmodell deutlich ab. Die Nutzung eines Malware-as-a-Service-Schemas ist in dieser Art von Bedrohung nicht häufig zu sehen und stellt eine neue Herausforderung für Sicherheitsforscher dar.
Ergänzungen und Infos bitte an die Redaktion per eMail an de-info[at]it-boltwise.de
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.