近期，網(wǎng)絡(luò)安全領(lǐng)域傳來新警報，知名安全企業(yè)Cleafy揭露了一種新型安卓遠程訪問木馬（RAT），命名為DroidBot。據(jù)稱，這一發(fā)現(xiàn)是在10月末由Cleafy的研究團隊完成的。

黑客利用精心偽裝的Chrome瀏覽器和銀行應(yīng)用作為誘餌，巧妙地在搜索引擎中投放廣告，通過競價排名機制提高曝光率，誘使不明真相的用戶下載并安裝這些惡意軟件。其目標直指英國、意大利、法國、西班牙及葡萄牙的77家銀行客戶，企圖實施網(wǎng)絡(luò)攻擊。

經(jīng)過深入分析，Cleafy的研究人員發(fā)現(xiàn)，DroidBot木馬不僅活躍于當(dāng)前的網(wǎng)絡(luò)環(huán)境中，還正處于積極的開發(fā)升級階段。黑客團隊持續(xù)為其增添新功能，以增強其攻擊力和隱蔽性。目前，該木馬已具備VNC隱蔽、屏幕覆蓋、鍵盤記錄、后臺監(jiān)控、信息攔截、root權(quán)限檢測、代碼混淆處理及多階段打包等復(fù)雜功能。這些特性表明，黑客可能正針對特定用戶群體進行細致入微的定制，以期達到最佳的攻擊效果。

尤為值得關(guān)注的是，DroidBot采用了一種創(chuàng)新的雙重通信機制。它首先通過MQTT協(xié)議，將受害設(shè)備的數(shù)據(jù)安全地傳輸至黑客控制的服務(wù)器；隨后，利用HTTPS協(xié)議接收黑客的指令并傳回至受害設(shè)備（即C2服務(wù)器）。這種巧妙的進出流量分離策略，為黑客提供了更為靈活多變的攻擊手段，使其能夠更有效地躲避安全檢測和防御措施。