Aktív idős emberek kihasználása
2025 augusztusában ausztrál felhasználók jelezték, hogy különféle Facebook-csoportokban aktív idősebbeknek szervezett utazásokat és közösségi eseményeket hirdetnek. A ThreatFabric kutatói ezek mögött kiterjedt csalási kampányt azonosítottak, melyeket olyan hallgatólagos támadásokkal kötnének össze, amelyek célja banki és személyes adatok eltulajdonítása. A kampány mögött egy új Android eszközátvevő trójai áll, amelyet Datzbro néven azonosítottak.
Az áldozatok által látogatott Facebook-csoportok AI-generált tartalmakkal települtek, amelyeket kifejezetten idősebb emberek érdeklődési körére szabtak — utazás, összejövetelek, kirándulások. A gyanús csoportok ausztrál mellett Malajziából, Kanadából, Szingapúrból, Dél-Afrikából és az Egyesült Királyságból is jelentkeztek. A kampány lényege, hogy a csoport tagjai számára „közösségi alkalmazást” ajánlanak letöltésre, amely állítólag az eseményekhez, tagkapcsolathoz szükséges lenne. A weboldalakból letöltési gomb iOS-alkalmazásnak álcázott részeket is hirdetett, bár ezek kezdetben nem tartalmaztak semmit, viszont később frissíthetők voltak phishing vagy WebClip / TestFlight alkalmazásként. Az Android-felhasználókat közvetlenül egy rosszindulatú APK-val fertőzik, vagy olyan droppert használnak, amely képes megkerülni az Android 13+ biztonsági korlátozásait — például a Zombinder droppert.
A Datzbro trójai Android-eszközök feletti teljes távoli kontrollra képes, az Accessibility szolgáltatások révén gesztusokat és parancsokat lehet imitálni, távoli képernyőmegosztást, fekete takarást egyéni szöveggel, billentyűleütés-naplózást, fénykép- és fájlhozzáférést is. Az úgynevezett schematic remote control mód lehetővé teszi a felületi elemek struktúrájának elküldését a vezérlő szervernek, amely az elemek pozícióját és tartalmát ismeri fel, így még ha nincs teljes videóképernyő is, működő „rajzolt felületként” tudják vezérelni. Ezzel a támadók finom, célzott műveleteket végezhetnek: zárolhatják/ feloldhatják a képernyőt, indíthatnak interakciókat, és aktív felhasználói tevékenységet imitálhatnak. A trójai különösen a banki és kriptoalkalmazások irányába mutató hozzáférésekkel rendelkezik: képes kimondottan az ottani hitelesítők és tranzakciók visszaélésére.
A Datzbro C2-alkalmazása és a builder kiszivárogt az internetre – ez azt jelenti, hogy bármely támadócsoport hozzáférhet, módosíthatja és saját célra használhatja. Így a Datzbro kampány globális fenyegetéssé nőhet, nem csak a kezdeti régiókban.
Az idősebb lakosság célzása nem véletlen, hiszen ők gyakran kevésbé óvatosak az alkalmazás-letöltésekkel, és hajlamosabbak elhinni olyan ajánlatokat, mint közösségi események, utazások — akkor is, ha azok valójában csalásként szolgálnak arra, hogy rávegyék őket egy fertőzött alkalmazás telepítésére. A jelenségben tehát összekapcsolódik a kifinomult pszichológiai megtévesztés (social-engineering) és a technikai ráhatás.
