Trojan Android Baru Serang Bank dan Bursa Uang Kripto

Tidak ada tempat yang benar-benar aman, seperti ancaman baru dari trojan Android Baru serang bank dan bursa uang kripto.

Sebanyak 77 lembaga perbankan, bursa mata uang kripto, dan organisasi nasional telah menjadi target trojan akses jarak jauh Android (RAT) yang baru ditemukan bernama DroidBot.

DroidBot adalah RAT modern yang menggabungkan teknik serangan VNC dan overlay tersembunyi dengan kemampuan seperti spyware, keylogging dan pemantauan antarmuka pengguna.

Selain itu, ia memanfaatkan komunikasi saluran ganda, mentransmisikan data keluar melalui MQTT dan menerima perintah masuk melalui HTTPS, memberikan fleksibilitas dan ketahanan operasi yang lebih baik.

Peneliti telah menemukan malware tersebut pada akhir Oktober 2024, meskipun ada bukti yang menunjukkan bahwa malware tersebut telah aktif setidaknya sejak Juni, beroperasi di bawah model malware-as-a-service (MaaS) dengan biaya bulanan sebesar $3.000.

Baca juga: Tren Trojan

Kelompok Afiliasi

Tidak kurang dari 17 kelompok afiliasi telah diidentifikasi membayar untuk mengakses penawaran tersebut.

Ini juga mencakup akses ke panel web tempat mereka dapat mengubah konfigurasi untuk membuat file APK khusus yang menyematkan malware, serta berinteraksi dengan perangkat yang terinfeksi dengan mengeluarkan berbagai perintah.

Operasi yang memanfaatkan DroidBot terutama telah diamati di:

Austria.
Belgia.
Prancis.
Italia.
Portugal.
Spanyol.
Turki.
Inggris Raya.

Aplikasi berbahaya tersebut disamarkan sebagai aplikasi keamanan generik, Google Chrome, atau berbagai aplikasi perbankan populer sebagai upaya pengelabuan terstruktur.

Meskipun malware tersebut sangat mengandalkan penyalahgunaan layanan aksesibilitas Android untuk mengumpulkan data sensitif dan mengendalikan perangkat yang terinfeksi dari jarak jauh,

Dan yang membuat malware tersebut menonjol karena memanfaatkan dua protokol berbeda untuk perintah dan kontrol (C2).

Baca juga: Trojanisasi Telegram

Eksploitasi MQTT

Secara khusus, DroidBot menggunakan HTTPS untuk perintah masuk, sedangkan data keluar dari perangkat yang terinfeksi dikirimkan menggunakan protokol pengiriman pesan yang disebut MQTT.

Pemisahan ini meningkatkan fleksibilitas dan ketahanan operasionalnya, pialang MQTT yang digunakan oleh DroidBot diatur ke dalam topik-topik tertentu yang mengkategorikan jenis komunikasi yang dipertukarkan antara perangkat yang terinfeksi dan infrastruktur C2.

Asal muasal pelaku ancaman di balik operasi ini tidak diketahui, meskipun analisis sampel malware telah mengungkapkan bahwa mereka berbahasa Turki.

Malware yang ditampilkan di sini mungkin tidak menonjol dari sudut pandang teknis, karena sangat mirip dengan keluarga malware yang dikenal.

Namun, yang benar-benar menonjol adalah model operasionalnya, yang sangat mirip dengan skema Malware-as-a-Service (MaaS) sesuatu yang tidak umum terlihat dalam jenis ancaman ini.

Pemaparan mengenai trojan Android Baru serang bank dan bursa uang kripto semoga bisa menambah wawasan dan memberi manfaat bagi pembacanya.

Baca lainnya: