Investigadores han descubierto un nuevo 'malware' denominado DroidBot integrado más de 70 aplicaciones bancarias, servicios de intercambio de criptomonedas y entidades relacionadas para el sistema operativo Android y descargadas en España, Reino Unido, Italia, Francia y Portugal.
DroidBot es un troyano sofisticado de acceso remoto (RAT, por sus sigles en inglés) que combina el uso compartido de pantalla remota de Virtual Network Computing (VNC) con funciones que suelen asociarse con 'software' espía ('spyware').
Para atraer a las víctimas y que descarguen este 'malware', los ciberdelincuentes utilizan señuelos comunes que se observan habitualmente en las campañas de distribución de 'malware' bancario. De esa manera, se disfraza de aplicaciones de seguridad genéricas, servicios de Google o 'apps' bancarias populares.
Esta amenaza, advertida por el equipo de seguridad de Cleafy TIR a finales de octubre de 2024, incluye un 'keylogger' y rutinas de monitorización. De esa manera, una vez se haya instalado en el dispositivo, puede interceptar mensajes SMS entrantes de instituciones financieras -como por ejemplo, cuando envían números de autenticación de transacciones (TAN)-, y las interacciones del usuario con la pantalla. Gracias a esto, los ciberdelincuentes pueden robar tanto su información personal como sus credenciales.
A diferencia de otros troyanos, DroidBot dispone de un mecanismo de comunicación de doble canal. Esto significa que los datos salientes de los dispositivos infectados se transmiten mediante el protocolo de mensajería ligero MQTT -siglas de Message Queuing Telemetry Transport-, mientras que los comandos entrantes se reciben a través del protocolo HTTPS. De esa manera, este doble sentido mejora la flexibilidad operativa del troyano y su resistencia.
La campaña de este troyano está activa desde junio de 2024 y se ha vinculado a Turquía, lo que refleja una tendencia más amplia de adaptación de tácticas y enfoque geográfico, según los investigadores. Asimismo, parece estar en desarrollo activo.
DroidBot opera como una plataforma de 'malware' como servicio (MaaS, por sus siglas en inglés), esto es, un modelo de distribución de 'software' malicioso a individuos o grupos con menos recursos o capacidad técnica.
De esta manera, dispone de 17 grupos de afiliados diferentes, con identificadores únicos asignados, que se dirigen a 77 objetivos. Entre ellos se encuentran aplicaciones bancarias, bolsas de criptomonedas, entidades gubernamentales y otras organizaciones nacionales relacionadas.
Los expertos también han señalado que los ciberdelincuentes «han apuntado con éxito» a usuarios en España, Reino Unido, Italia, Francia y Portugal; y que hay indicios de que se expandirá en regiones de América Latina.