BREVE NOTICIA
Un feroz troyano de acceso remoto (RAT) de Android, apodado “DroidBot”, utiliza funciones de software espía como registro de teclas y monitoreo, así como transmisión de datos entrantes y salientes, para robar datos de bancos, casas de cambio de criptomonedas y otras organizaciones nacionales. Pero la verdadera preocupación de los analistas de ciberseguridad sobre el troyano bancario DroidBot es su aparente expansión hacia una operación de malware como servicio por derecho propio.
Los investigadores detrás del descubrimiento advirtieron que DroidBot RAT ha estado activo desde mediados de 2024, ya tiene una alta rotación entre al menos 17 grupos afiliados y se ha utilizado en 77 ciberataques contra organizaciones en Francia, Italia, Portugal y España. según un informe por Cleafy. Además, la evidencia indica que el DroidBot Troyano bancario para Android se actualiza continuamente y puede estar a punto de expandirse a América Latina.
El análisis mostró que los desarrolladores son hablantes nativos de turco, pero han comenzado a expandirse a países de habla hispana, lo que según los investigadores es una señal de la intención de la operación de expandirse en América Central y del Sur.
“Las inconsistencias observadas en múltiples muestras indican que este malware todavía está en desarrollo activo”, afirma el informe. “Estas inconsistencias incluyen características de marcadores de posición, como comprobaciones de raíz, diferentes niveles de ofuscación y desempaquetado de varios pasos. Tales variaciones sugieren esfuerzos continuos para mejorar la efectividad del malware y adaptarlo a aplicaciones específicas. Entornos específicos”.
Aparición del troyano como servicio bancario de Android
Para acabar con DroidBot, los adversarios ocultan el malware en aplicaciones bancarias maliciosas y otras aplicaciones ubicuas, dijeron los investigadores, lo cual no es nuevo.
La novedad de RAT, según los investigadores, radica en el uso de herramientas de vigilancia, incluida la interceptación de mensajes SMS, el registro de teclas y la captura periódica de capturas de pantalla del dispositivo de la víctima. El malware también aprovecha los servicios de accesibilidad para permitir que actores maliciosos ejecuten comandos de forma remota y operen el dispositivo de la víctima.
“Además, aprovecha la comunicación de doble canal, transmitiendo datos salientes a través de MQTT y recibiendo comandos entrantes a través de HTTPS, lo que proporciona mayor flexibilidad y resiliencia operativa”, explica el informe. “Ejemplos recientes de Troyanos bancarios para Android que adoptan este protocolo incluyen Copybara y BRATA/AmexTroll.
Dejando a un lado las especificaciones técnicas, los investigadores de Cleafy han hecho sonar la alarma de que el surgimiento de lo que parece ser un nuevo modelo de negocio bancario RAT como servicio representa un cambio significativo en el panorama de amenazas.
“[W]Aunque las dificultades técnicas no son tan grandes, el verdadero motivo de preocupación reside en este nuevo modelo de distribución y afiliación, que llevaría el monitoreo de la superficie de ataque a un nivel completamente nuevo”, afirma el informe. Este podría ser un tema crítico. Un punto importante, porque cambiar la escala de un conjunto de datos tan grande podría aumentar significativamente la carga cognitiva. »