安卓木马 DroidBot 曝光，包装成仿冒软件瞄准 77 家海外银行客户下手

IT之家报道称，Cleafy近日发布的报告指出，他们在去年 10 月底发现了一款名为 DroidBot 的安卓远程访问木马（RAT）。

据了解，黑客主要将该木马伪装在模拟的 Chrome 浏览器和银行应用中，并通过竞价排名等手段在搜索引擎上发布广告，诱使受害者下载。据悉，黑客主要针对英国、意大利、法国、西班牙和葡萄牙等国家的 77 家银行客户进行攻击。

研究人员调查发现，DroidBot 目前仍处于积极开发阶段，黑客正在为该木马添加更多功能。根据获得的多个恶意软件样本，该木马已经具备了VNC 隐蔽、屏幕覆盖、键盘输入记录、后台进程监控、信息拦截、root 权限检查、混淆处理、多阶段打包等功能，这表明黑客可能正在专门瞄准某些特定用户，以达到更好的攻击效果。

DroidBot 的另一个显著特点是其采用双重通信机制。该木马首先通过 MQTT 协议将受感染设备的数据传输到黑客设置的服务器，然后再通过 HTTPS 协议将黑客的指令传送回受害设备（C2）。这种进出流量分离的策略允许黑客灵活地展开攻击行动。

广告声明：本文含有外部链接，仅供参考。