El Malware DroidBot se dirige a Bancos y Organizaciones Nacionales en toda Europa

Las analistas de seguridad en Cleafy han descubierto un sofisticado Troyano de Acceso Remoto para Android (RAT) llamado DroidBot, identificado como parte de una operación de Malware-como-Servicio (MaaS) originada en Turquía.

Primero rastreado en junio de 2024 y observado activamente en octubre, DroidBot demuestra capacidades avanzadas y un creciente impacto geográfico, particularmente en Europa.

DroidBot es un tipo de spyware que combina métodos como el acceso oculto a la pantalla y las pantallas de inicio de sesión falsas para robar datos personales. Envía los datos robados a través de un método diseñado para dispositivos inteligentes y recibe comandos a través de sitios web seguros, lo que dificulta su detección.

Algunos de sus trucos incluyen grabar lo que escribes para capturar contraseñas, crear pantallas de inicio de sesión falsas para robar tu información, tomar capturas de pantalla de tu teléfono para espiar tu actividad e incluso controlar tu teléfono de forma remota para imitar tus acciones.

Aprovecha los Servicios de Accesibilidad de Android, que los usuarios a menudo otorgan sin saberlo durante la instalación. Disfrazado de aplicaciones inofensivas como herramientas de seguridad o aplicaciones bancarias, DroidBot engaña a las personas para que lo descarguen.

DroidBot se dirige a 77 organizaciones, incluyendo bancos, intercambios de criptomonedas y entidades nacionales. Se han observado campañas en el Reino Unido, Francia, España, Italia y Portugal, con indicios de expansión hacia América Latina.

Las preferencias de idioma en el código y la infraestructura del malware sugieren desarrolladores de habla turca.

Se evidencia un desarrollo en curso, con inconsistencias en las comprobaciones de raíz, niveles de ofuscación y procesos de desempaquetado a través de las muestras. Estas variaciones indican esfuerzos para perfeccionar el malware y adaptarlo a diferentes entornos.

DroidBot opera dentro de un marco de MaaS, donde los afiliados pagan por el acceso a su infraestructura. Cleafy identificó a 17 grupos de afiliados que utilizan el mismo servidor MQTT, lo que indica colaboración o demostraciones de las capacidades del malware.

Anunciado en foros de hackers de habla rusa, el servicio incluye características avanzadas como Sistemas de Transferencia Automatizada (ATS, por sus siglas en inglés) para fraudes financieros y cuesta a los afiliados $3,000 mensuales.

La sofisticación de DroidBot, respaldada por rutinas de cifrado y comunicación basada en MQTT, lo posiciona como una amenaza cibernética significativa. Su modelo MaaS, el desarrollo constante y la capacidad de eludir la autenticación de dos factores generan preocupaciones para las instituciones financieras y los gobiernos.

A medida que DroidBot continúa evolucionando, los expertos en seguridad hacen hincapié en la vigilancia y en la mejora de las medidas de protección para las organizaciones en las regiones afectadas.