Sebanyak 77 lembaga perbankan, bursa mata uang kripto, dan organisasi nasional telah menjadi target trojan akses jarak jauh Android (RAT) yang baru ditemukan bernama DroidBot.

DroidBot adalah RAT modern yang menggabungkan teknik serangan VNC dan overlay tersembunyi dengan kemampuan seperti spyware, seperti keylogging dan pemantauan antarmuka pengguna.

Selain itu, ia memanfaatkan komunikasi saluran ganda, mentransmisikan data keluar melalui MQTT dan menerima perintah masuk melalui HTTPS, memberikan fleksibilitas dan ketahanan operasi yang lebih baik.

Peneliti telah menemukan malware tersebut pada akhir Oktober 2024, meskipun ada bukti yang menunjukkan bahwa malware tersebut telah aktif setidaknya sejak Juni, beroperasi di bawah model malware-as-a-service (MaaS) dengan biaya bulanan sebesar $3.000.

Baca juga: Tren Trojan

Kelompok Afiliasi

Tidak kurang dari 17 kelompok afiliasi telah diidentifikasi membayar untuk mengakses penawaran tersebut. Ini juga mencakup akses ke panel web tempat mereka dapat mengubah konfigurasi untuk membuat file APK khusus yang menyematkan malware, serta berinteraksi dengan perangkat yang terinfeksi dengan mengeluarkan berbagai perintah.

Operasi yang memanfaatkan DroidBot terutama telah diamati di Austria, Belgia, Prancis, Italia, Portugal, Spanyol, Turki, dan Inggris Raya. Aplikasi berbahaya tersebut disamarkan sebagai aplikasi keamanan generik, Google Chrome, atau aplikasi perbankan populer.

Meskipun malware tersebut sangat mengandalkan penyalahgunaan layanan aksesibilitas Android untuk mengumpulkan data sensitif dan mengendalikan perangkat yang terinfeksi dari jarak jauh, malware tersebut menonjol karena memanfaatkan dua protokol berbeda untuk perintah dan kontrol (C2).

Baca juga: Trojanisasi Telegram

Eksploitasi MQTT

Secara khusus, DroidBot menggunakan HTTPS untuk perintah masuk, sedangkan data keluar dari perangkat yang terinfeksi dikirimkan menggunakan protokol pengiriman pesan yang disebut MQTT.

Pemisahan ini meningkatkan fleksibilitas dan ketahanan operasionalnya, pialang MQTT yang digunakan oleh DroidBot diatur ke dalam topik-topik tertentu yang mengkategorikan jenis komunikasi yang dipertukarkan antara perangkat yang terinfeksi dan infrastruktur C2.

Asal muasal pelaku ancaman di balik operasi ini tidak diketahui, meskipun analisis sampel malware telah mengungkapkan bahwa mereka berbahasa Turki.

Malware yang ditampilkan di sini mungkin tidak menonjol dari sudut pandang teknis, karena sangat mirip dengan keluarga malware yang dikenal.

Namun, yang benar-benar menonjol adalah model operasionalnya, yang sangat mirip dengan skema Malware-as-a-Service (MaaS) sesuatu yang tidak umum terlihat dalam jenis ancaman ini.

 

 

Baca artikel lainnya: Penyusup Itu Bernama Trojan Horse Trojan Perbankan Eksploitasi YouTube Kontrol Malware Jarak Jauh Source Code Malware Android Disebar Malware Baru Bermunculan 3 Trojan Perbankan Manfaatkan EternalBlue Trojan Perbankan Menyamar sebagai Aplikasi Cuaca di Google Playstore Trojan Downloader Peniru Adobe Flash Player Trojan Perbankan Android Sekarang Satu Paket dengan Ransomware Akun Steam Penyebar Trojan

 

Sumber berita:

 

Prosperita IT News