DroidBot是一种复杂的Android RAT，其目标是欧洲各地的个人和金融机构。

Cleafy Labs最近的一项发现揭示了一种名为DroidBot的新型Android间谍软件威胁，该威胁于2024年中期被发现，并采用MaaS(恶意软件即服务)操作模型运行。

与合法的软件即服务(SaaS)模型类似，恶意软件开发人员在MaaS模型中租用恶意软件的访问权限，这使得网络犯罪分子更容易发动攻击，而无需高级技术专长。

根据Cleafy Labs的调查，DroidBot是一种复杂的Android远程访问木马(RAT)，针对欧洲各地的金融机构和个人。据信，这种间谍软件是由一个讲土耳其语的组织开发的，利用先进的技术窃取敏感信息并控制受感染的设备。

研究表明，DroidBot旨在针对广泛的受害者，包括银行客户、加密货币交易所用户和政府雇员。它采用各种策略来入侵设备，例如伪装成“通用安全应用程序、Google服务或热门银行应用程序”，并利用Android辅助功能服务进行恶意活动。

感染设备后，DroidBot可以拦截短信、记录键盘输入并截取设备屏幕的屏幕截图。它还可以远程控制设备，让攻击者拨打电话、发送消息并访问敏感数据。

这款间谍软件结合了隐藏的VNC和覆盖功能以及类似间谍软件的功能。它包含一个键盘记录器和监控程序，可以拦截用户，使其成为一种强大的监视和凭证盗窃工具。

此外，DroidBot的双通道通信机制允许使用MQTT协议进行出站数据传输(Copybara和BRATA/AmexTroll银行木马也使用该协议)，并通过HTTPS发送入站命令，从而增强了其操作灵活性和弹性。

DroidBot最令人担忧的一点是，它采用MaaS模型，拥有17个不同的附属团体，每个团体都使用唯一标识符进行标识。这使得网络犯罪分子可以租用恶意软件的访问权限，使他们更容易发动攻击，而无需高级技术专业知识。

研究人员在博客文章中指出：“在分析时，已经确定了77个不同的目标，包括银行机构、加密货币交易所和国家组织，这凸显了其产生广泛影响的潜力。”

DroidBot目前处于积极开发阶段，部分功能（如根目录检查）只是占位符，且不同样本的功能也存在差异。尽管存在这些不一致之处，但该恶意软件已展现出巨大潜力，其目标用户包括英国、意大利、法国、西班牙、土耳其和葡萄牙，并且可能扩展到拉丁美洲地区。

Cleafy Labs透露： “在代码中，我们可以看到这些信息针对四种主要语言进行了定制：英语、意大利语、西班牙语和土耳其语。”

为了保护自己免受DroidBot和类似威胁的侵害，请在从未知来源下载应用程序时小心谨慎，并使用最新的安全补丁更新您的设备并使用可靠的防病毒软件。