最近,网络安全界发布了一则新警告,著名的安全公司Cleafy曝光了一款名为DroidBot的新型安卓远程访问木马。这一发现是在10月底由Cleafy的研究团队完成的。
不法分子利用假冒的Chrome浏览器和银行应用程序作为诱饵,在搜索引擎上投放广告,并通过竞价排名提高其可见度,引诱用户下载和安装这些恶意软件。该木马的目标是英国、意大利、法国、西班牙和葡萄牙的77家银行客户,意图进行网络攻击。
Cleafy的研究人员经过深入分析发现,DroidBot木马不仅在当前网络环境中活跃,而且还在不断开发升级。黑客团队为其增加了新功能,以提高攻击力和隐蔽性。目前,这款木马具备多项复杂功能,包括VNC隐蔽、屏幕覆盖、键盘记录、后台监控、信息拦截、root权限检测、代码混淆处理和多阶段打包等。这些特点表明,黑客可能正在针对特定用户群体进行精确攻击,以实现最佳攻击效果。
特别值得注意的是,DroidBot采用了一种创新的双重通信机制。它首先通过MQTT协议将受害设备的数据安全传输到黑客控制的服务器;然后,利用HTTPS协议接收黑客指令并传回至受害设备(即C2服务器)。这种巧妙的流量分离策略,为黑客提供了更加灵活的攻击手段,使其更有效地规避安全检测和防御。
暂无评论