老年人旅游诈骗被威胁行为者用于传播Datzbro恶意软件

2025年8月，澳大利亚当局在用户报告可疑的Facebook群组推广"活跃老年人旅行"后发布了多次诈骗警报。这些看似无害的社区聚会实际上隐藏着复杂的移动恶意软件操作。

ThreatFabric研究人员发现，这些群组由欺诈者管理，他们诱使老年人下载一个名为"Datzbro"的恶意安卓木马。本报告详细介绍了该活动如何运作、Datzbro的功能以及其全球可用性为何构成重大威胁。

诈骗活动运作方式

该活动针对寻求社交活动、旅行和线下聚会的老年人。欺诈者创建了多个Facebook群组，其中充斥着AI生成的内容，宣布舞蹈活动、一日游和其他聚会。虽然内容看起来真实，但专门针对老年人设计，并提示感兴趣的用户加入私人消息渠道。

报告显示，针对澳大利亚受众的群组也出现在新加坡、马来西亚、加拿大、南非和英国，所有这些群组都具有几乎相同的消息风格和视觉效果。

一旦受害者表示兴趣，诈骗者就会通过Facebook Messenger或WhatsApp联系他们。受害者收到下载所谓"社区应用程序"的链接，该应用程序声称允许活动注册、成员联系和时间表跟踪。

在某些情况下，会要求支付少量注册费，导致通过钓鱼网站窃取支付卡信息。虽然iOS链接指向非活动占位符，但点击Google Play按钮的安卓受害者会被提供恶意APK文件。

Datzbro恶意软件分析

ThreatFabric移动威胁情报团队的分析显示，下载的APK是一个新的设备接管木马，根据其代码中的嵌入字符串命名为"Datzbro"。

该恶意软件结合了传统间谍软件功能（音频录制、摄像头捕获、文件和照片访问）与高级远程控制能力。这些功能通过"黑色覆盖层"攻击和键盘记录实现金融欺诈，有效地模糊了间谍软件和银行木马之间的界限。

Datzbro利用安卓的无障碍服务执行自动化手势和全局操作，包括主页和返回按钮模拟。通过其命令与控制界面，操作者可以：

• 启动或停止远程屏幕共享和控制
• 启用或禁用半透明覆盖层以隐藏恶意操作
• 锁定或解锁设备
• 激活"示意图"远程控制，基于无障碍事件数据重建屏幕元素，即使在视频流质量较差的情况下也能实现精确交互

在示意图模式下，恶意软件传输屏幕元素的结构化表示（位置、标签和内容），使操作者能够在黑色或自定义覆盖层后面与应用程序无缝交互。

银行和加密货币目标攻击

虽然缺乏经典银行木马的完整覆盖层工具包，但Datzbro包含针对银行和加密货币应用的硬编码过滤器。该恶意软件监控包含"bank"、“pay”、“alipay”、“wallet"和"finance"等关键词的包名，以及包含"password”、“pin"或特定语言验证术语的事件文本。

当触发时，Datzbro显示虚假的凭据输入屏幕，要求受害者输入银行PIN码和密码。它还拦截设备PIN码、图案或密码输入，捕获所有敏感的身份验证数据。

进一步发现

进一步调查发现了Datzbro的泄露命令与控制桌面应用程序和构建器，现在可以在公共病毒共享平台上免费获取。移动威胁情报团队识别出名为"最强远控.apk"的样本和中文调试字符串，表明开发者的来源。与常见的基于Web的面板不同，桌面C2界面表明了一种独特的操作模式，并确认了该恶意软件源自中文网络犯罪社区。

缓解措施

通过结合AI生成内容、社交平台操纵以及黑色覆盖层和示意图控制等尖端恶意软件功能，威胁行为者已对弱势老年人构成了严重的金融威胁。一个从友好的Facebook邀请开始的活动可能以完全设备接管、凭据盗窃和电汇欺诈告终。

随着Datzbro在全球传播，提高老年人和社区组织的意识至关重要。金融机构和网络安全利益相关者必须警告用户不要下载通过社交媒体推广的未经验证的应用程序。加强对无障碍服务权限的审查和警惕报告可疑的在线群组有助于打破从社交诈骗到移动恶意软件感染的链条。

入侵指标