El nuevo malware DroidBot para Android apunta a 77 aplicaciones bancarias y criptográficas
Un nuevo malware bancario para Android llamado ‘DroidBot’ intenta robar credenciales de más de 77 intercambios de criptomonedas y aplicaciones bancarias en el Reino Unido, Italia, Francia, España y Portugal.
Según los investigadores de Cleafy que descubrieron el nuevo malware para Android, DroidBot ha estado activo desde junio de 2024 y opera como una plataforma de malware como servicio (MaaS), vendiendo la herramienta por 3000 dólares al mes.
Se han identificado al menos 17 grupos de afiliados que utilizan creadores de malware para personalizar sus cargas útiles para objetivos específicos.
Aunque DroidBot carece de características novedosas o sofisticadas, el análisis de una de sus botnets reveló 776 infecciones únicas en el Reino Unido, Italia, Francia, Turquía y Alemania, lo que indica una actividad significativa.
También, Cleafy dice El malware parece estar en pleno desarrollo en ese momento, con signos de intentar expandirse a nuevas regiones, incluida América Latina.
La operación DroidBot MaaS
Los desarrolladores de DroidBot, que parecen ser turcos, proporcionan a los afiliados todas las herramientas necesarias para realizar ataques. Esto incluye el generador de malware, los servidores de comando y control (C2) y un panel de administración central desde el cual pueden controlar sus operaciones, recuperar datos robados y emitir comandos.
Varios afiliados operan en la misma infraestructura C2, con identificadores únicos asignados a cada grupo, lo que permite a Cleafy identificar 17 grupos de amenazas.
El generador de carga útil permite a los afiliados personalizar DroidBot para apuntar a aplicaciones específicas, usar diferentes idiomas y establecer otras direcciones de servidor C2.
Los afiliados también tienen acceso a documentación detallada, soporte de los creadores del malware y acceso a un canal de Telegram donde se publican actualizaciones periódicamente.
En definitiva, la operación DroidBot MaaS hace que la barrera de entrada sea bastante baja para los ciberdelincuentes sin experiencia o poco cualificados.
Suplantar aplicaciones populares
DroidBot a menudo se hace pasar por Google Chrome, Google Play Store o «Android Security» como una forma de engañar a los usuarios para que instalen la aplicación maliciosa.
Sin embargo, en todos los casos, actúa como un troyano que intenta robar información confidencial de las aplicaciones.
Las principales características del malware son:
- Registro de teclas – Capturar cada pulsación de tecla introducida por la víctima.
- superposición – Mostrar páginas de inicio de sesión falsas en interfaces de aplicaciones bancarias legítimas.
- interceptación de SMS – Secuestra mensajes SMS entrantes, particularmente aquellos que contienen contraseñas de un solo uso (OTP) para inicios de sesión bancarios.
- Computación en red virtual – El módulo VNC brinda a los afiliados la capacidad de ver y controlar de forma remota el dispositivo infectado, ejecutar comandos y oscurecer la pantalla para ocultar la actividad maliciosa.
Un aspecto clave del funcionamiento de DroidBot es el abuso de los Servicios de Accesibilidad de Android para monitorear las acciones del usuario y simular deslizamientos y toques en nombre del malware. Por lo tanto, si instala una aplicación que solicita permisos extraños, como los Servicios de Accesibilidad, debería sospechar inmediatamente y rechazar la solicitud.
Entre las 77 aplicaciones que DroidBot intenta robar credenciales, se destacan Binance, KuCoin, BBVA, Unicredit, Santander, Metamask, BNP Paribas, Credit Agricole, Kraken y Garanti BBVA.
Para mitigar esta amenaza, se recomienda a los usuarios de Android que solo descarguen aplicaciones de Google Play, examinen las solicitudes de permiso durante la instalación y se aseguren de que Play Protect esté activo en sus dispositivos.