DroidBot具有先进的功能，正在进行针对欧洲银行机构、加密货币交易所和国家组织的积极活动，移动恶意软件威胁显著升级。

DroidBot于2024年6月首次被发现，它结合了高级功能，包括隐藏的VNC、覆盖攻击和类似间谍软件的键盘记录，使其成为设备欺诈的强大工具。

它采用双通道通信，使用MQTT传输出站数据，使用HTTPS传输入站命令，确保灵活性和弹性。

“DroidBot是一种高级的Android远程访问木马（RAT）……具有通常与间谍软件相关的特性，能够拦截用户交互和窃取凭证。”Cleafy报告指出。

该恶意软件目前针对英国、意大利、法国、西班牙和葡萄牙等国家的77个实体，有迹象表明其正在扩展到拉丁美洲。

Cleafy强调，“先进的监控功能、双通道通信、多样化的目标列表和活跃的MaaS基础设施相结合，突显了DroidBot的复杂性和适应性。”

与传统的恶意软件活动不同，DroidBot作为恶意软件即服务（MaaS）运营，允许合作伙伴通过订阅模式访问其功能。每个合作伙伴都被分配了唯一的标识符，一个Telegram频道宣传DroidBot的功能，每月3000美元的费用。

“DroidBot在移动威胁领域引入了一种众所周知但尚未广泛传播的范式。”Cleafy解释说，并强调了这种方法提供的可扩展性和覆盖范围。

DroidBot通过社会工程策略分发，伪装成合法的安全或银行应用程序。滥用Android无障碍服务来执行恶意操作，包括：

键盘记录：捕获敏感输入，例如登录凭据。覆盖攻击：在合法应用程序上显示虚假登录页面以收集凭据。类似VNC的例程：为攻击者提供设备活动的连续屏幕截图。远程控制：使攻击者能够模拟用户交互并操纵设备。

值得注意的是，DroidBot将MQTT用于其命令和控制（C2）基础设施，这是一种通常用于IoT系统的协议。这种非常规的选择有助于逃避检测并提高运营弹性。

Cleafy的分析表明，DroidBot仍在积极开发中，具有占位符函数和不同级别的样本混淆。

调试字符串和恶意软件配置等证据表明，其开发人员是土耳其语使用者，针对英语、意大利语、西班牙语和土耳其语用户进行了本地化。

DroidBot对金融机构和高价值目标构成重大威胁。其运营模式提升了监控和防御此类攻击的规模和复杂性。

正如Cleafy警告的那样，“真正的担忧点在于这种新的分发和合作模式，这将把攻击面的监控提升到一个全新的水平。”