Pesquisadores de segurança cibernética identificaram um novo trojan de acesso remoto (RAT) para Android chamado DroidBot, que tem como alvo bancos, exchanges de criptomoedas e organizações nacionais em diversos países. Esse malware, que combina técnicas avançadas de ataque com funcionalidades típicas de spyware, foi projetado para capturar informações sensíveis, como teclas digitadas, monitorar interfaces de usuários e controlar dispositivos remotamente.

Descoberto em outubro de 2024, há evidências de que o DroidBot já está ativo desde junho do mesmo ano, operando como parte de um modelo de Malware-as-a-Service (MaaS) disponível por uma assinatura mensal de US$ 3.000. O DroidBot utiliza uma abordagem sofisticada ao empregar um modelo de comunicação de dois canais, onde comandos são recebidos por HTTPS e dados roubados são enviados por meio do protocolo MQTT, um método eficiente e discreto. Esse design permite maior flexibilidade e resiliência operacional, tornando o malware mais difícil de detectar e neutralizar.

Pesquisadores revelaram que o malware está sendo distribuído por meio de aplicativos disfarçados de ferramentas de segurança genéricas, versões falsas do Google Chrome e até de aplicativos bancários legítimos. Esses aplicativos maliciosos foram identificados principalmente em países como Áustria, Bélgica, França, Itália, Portugal, Espanha, Turquia e Reino Unido.

O funcionamento do DroidBot depende de serviços de acessibilidade do Android, frequentemente explorados para acessar dados sensíveis e controlar dispositivos. Com o painel de controle fornecido aos afiliados, os criminosos podem criar arquivos APK personalizados, configurar campanhas maliciosas e emitir comandos diretamente para os dispositivos infectados. Essa infraestrutura robusta atraiu pelo menos 17 grupos afiliados que utilizam o DroidBot para lançar ataques direcionados, evidenciando o crescente profissionalismo do modelo MaaS no ecossistema Android.