Sebanyak 77 lembaga perbankan, bursa mata uang kripto, dan organisasi nasional telah menjadi target trojan akses jarak jauh (RAT) Android yang baru ditemukan yang disebut DroidBot.
“DroidBot adalah RAT modern yang menggabungkan VNC tersembunyi dan teknik serangan overlay dengan kemampuan seperti spyware, seperti keylogging dan pemantauan antarmuka pengguna,” kata peneliti Cleafy, Simone Mattia, Alessandro Strino, dan Federico Valentini.
“Selain itu, ia memanfaatkan komunikasi saluran ganda, mentransmisikan data keluar melalui MQTT dan menerima perintah masuk melalui HTTPS, sehingga memberikan peningkatan fleksibilitas dan ketahanan operasi.”
Perusahaan pencegahan penipuan Italia mengatakan mereka menemukan malware tersebut pada akhir Oktober 2024, meskipun ada bukti yang menunjukkan bahwa malware tersebut telah aktif setidaknya sejak bulan Juni, beroperasi di bawah model malware-as-a-service (MaaS) dengan biaya bulanan sebesar $3.000.
Tidak kurang dari 17 grup afiliasi telah diidentifikasi membayar untuk akses ke penawaran tersebut. Ini juga termasuk akses ke panel web tempat mereka dapat mengubah konfigurasi untuk membuat file APK khusus yang menyematkan malware, serta berinteraksi dengan perangkat yang terinfeksi dengan mengeluarkan berbagai perintah.
Kampanye yang memanfaatkan DroidBot terutama terlihat di Austria, Belgia, Prancis, Italia, Portugal, Spanyol, Turki, dan Inggris. Aplikasi berbahaya tersebut menyamar sebagai aplikasi keamanan umum, Google Chrome, atau aplikasi perbankan populer.
Meskipun malware ini sangat mengandalkan penyalahgunaan layanan aksesibilitas Android untuk mengambil data sensitif dan mengontrol perangkat Android dari jarak jauh, malware ini menonjol karena memanfaatkan dua protokol berbeda untuk perintah dan kontrol (C2).
Secara khusus, DroidBot menggunakan HTTPS untuk perintah masuk, sedangkan data keluar dari perangkat yang terinfeksi dikirimkan menggunakan protokol perpesanan yang disebut MQTT.
“Pemisahan ini meningkatkan fleksibilitas dan ketahanan operasionalnya,” kata para peneliti. “Broker MQTT yang digunakan oleh DroidBot disusun ke dalam topik spesifik yang mengkategorikan jenis komunikasi yang dipertukarkan antara perangkat yang terinfeksi dan infrastruktur C2.”
Asal muasal pelaku ancaman di balik operasi tersebut tidak diketahui secara pasti, meskipun analisis sampel malware mengungkapkan bahwa mereka adalah penutur bahasa Turki.
“Malware yang disajikan di sini mungkin tidak menonjol dari sudut pandang teknis, karena sangat mirip dengan keluarga malware yang dikenal,” kata para peneliti. “Namun, yang paling menonjol adalah model operasionalnya, yang sangat mirip dengan skema Malware-as-a-Service (MaaS) – sesuatu yang tidak biasa terlihat pada jenis ancaman ini.”
