DroidBot Zararlı Yazılımı, Avrupa Genelinde Bankacılık ve Ulusal Kuruluşları Hedef Alıyor

Cleafy‘deki güvenlik analistleri, Türkiye’den kaynaklanan bir Malware-as-a-Service (MaaS) operasyonunun parçası olarak belirlenen, DroidBot adında sofistike bir Android Uzaktan Erişim Truva Atı’nı (RAT) ortaya çıkardı.

İlk olarak Haziran 2024’te izlenmeye başlanan ve Ekim ayında etkin bir şekilde gözlemlenen DroidBot, ileri yetenekler sergiliyor ve coğrafi etkisi, özellikle Avrupa’da, hızla büyüyor.

DroidBot, gizli ekran erişimi ve sahte giriş ekranları gibi yöntemleri birleştiren bir casus yazılım türüdür ve kişisel verileri çalmak için kullanılır. Çalınan verileri, akıllı cihazlar için tasarlanmış bir yöntemle gönderir ve komutları güvenli web siteleri üzerinden alır, bu da onun tespit edilmesini zorlaştırır.

Bazı hilelerinden bazıları, şifreleri yakalamak için yazdıklarınızı kaydetmek, bilgilerinizi çalmak için sahte giriş ekranları oluşturmak, aktivitenizi casusluk yapmak için telefonunuzun ekran görüntülerini almak ve hatta eylemlerinizi taklit etmek için telefonunuzu uzaktan kontrol etmektir.

Android’ın Erişilebilirlik Hizmetlerinden faydalanır ki, kullanıcılar bunu genellikle kurulum sırasında farkında olmadan sağlarlar. Zararsız uygulamalar gibi gizlenmiş, güvenlik araçları veya bankacılık uygulamaları gibi görünen DroidBot, insanları kendisini indirmeye kandırır.

DroidBot, bankalar, kripto para borsaları ve ulusal kuruluşlar olmak üzere 77 organizasyonu hedef alır. Kampanyalar, İngiltere, Fransa, İspanya, İtalya ve Portekiz’de gözlemlenmiştir ve Latin Amerika’ya genişletme belirtileri vardır.

Yazılımın kod ve altyapısındaki dil tercihleri, Türkçe konuşan geliştiricileri işaret ediyor.

Sürekli bir geliştirme süreci gözlemleniyor; kök kontrol, obfuskasyon seviyeleri ve örnekler arasında paket açma süreçlerinde tutarsızlıklar bulunuyor. Bu çeşitlilikler, kötü amaçlı yazılımı geliştirmek ve farklı ortamlara uyum sağlamak için yapılan çabaları gösteriyor.

DroidBot, ortakların altyapısına erişim için ödeme yaptığı bir MaaS çerçevesi içinde çalışır. Cleafy, aynı MQTT sunucusunu kullanan 17 ortak grubu belirledi, bu da kötü amaçlı yazılımın yeteneklerinin işbirliği veya gösterimlerini gösteriyor.

Rusça konuşan hacking forumlarında reklamı yapılan bu hizmet, finansal dolandırıcılık için Otomatik Transfer Sistemleri (ATS) gibi gelişmiş özellikler içerir ve ortaklara aylık 3.000 dolar maliyeti vardır.

DroidBot’un karmaşıklığı, şifreleme rutinleri ve MQTT tabanlı iletişim tarafından desteklenmesi, onu önemli bir siber tehdit olarak konumlandırıyor. Hizmet olarak Model (MaaS) modeli, sürekli gelişimi ve iki faktörlü kimlik doğrulamayı atlatma yeteneği, finans kuruluşları ve hükümetler için endişe konusu olmaktadır.

DroidBot sürekli evrim geçirdikçe, güvenlik uzmanları, etkilenen bölgelerdeki organizasyonlar için tetikte olmayı ve koruyucu önlemleri artırmayı vurgulamaktadır.