近期，網(wǎng)絡(luò)安全領(lǐng)域迎來(lái)了一次重大發(fā)現(xiàn)，網(wǎng)絡(luò)安全專(zhuān)家團(tuán)隊(duì)Cleafy揭露了一種名為DroidBot的新型安卓遠(yuǎn)程訪(fǎng)問(wèn)木馬（RAT），這一發(fā)現(xiàn)引起了廣泛關(guān)注。據(jù)悉，該木馬最早于10月底被Cleafy的安全研究人員所探測(cè)到。

DroidBot木馬以其狡猾的傳播手段令人震驚。黑客精心偽裝木馬，將其藏匿于看似無(wú)害的Chrome瀏覽器仿冒版及銀行應(yīng)用之中，并利用搜索引擎的競(jìng)價(jià)排名機(jī)制，將惡意廣告推送給用戶(hù)，誘使他們下載并安裝。這一精心策劃的陷阱主要瞄準(zhǔn)了英國(guó)、意大利、法國(guó)、西班牙及葡萄牙等國(guó)家的77家銀行客戶(hù)。

深入分析顯示，DroidBot木馬仍處于高速發(fā)展階段，黑客團(tuán)隊(duì)正不斷為其增添新功能。根據(jù)安全公司獲取的多個(gè)樣本，該木馬已具備一系列高級(jí)功能，包括但不限于VNC隱蔽技術(shù)、屏幕覆蓋功能、鍵盤(pán)輸入記錄、后臺(tái)進(jìn)程監(jiān)控、信息攔截、root權(quán)限檢查、混淆處理及多階段打包等。這些功能的實(shí)現(xiàn)意味著黑客可能正在針對(duì)特定用戶(hù)群體進(jìn)行定制化攻擊，以提升攻擊的成功率和效果。

更令人擔(dān)憂(yōu)的是，DroidBot木馬采用了獨(dú)特的雙重通信機(jī)制，增強(qiáng)了黑客的攻擊靈活性。木馬首先通過(guò)MQTT協(xié)議將受害設(shè)備的數(shù)據(jù)安全地傳輸至黑客控制的服務(wù)器，隨后再利用HTTPS協(xié)議將黑客的命令回傳至受害設(shè)備（C2）。這種流量分離策略不僅提高了攻擊的隱蔽性，還使得黑客能夠更自由地實(shí)施攻擊行動(dòng)。