برنامج AntiDot الخبيث لنظام Android

كشف باحثو الأمن السيبراني عن برنامج AntiDot، وهو برنامج خبيث متطور يستهدف نظام أندرويد، أصاب آلاف الأجهزة عبر مئات الحملات الخبيثة. يرتبط هذا البرنامج الخبيث بجهة تهديد تُعرف باسم LARVA-398، وهو يُظهر الخطر المتزايد الذي تُشكله عروض البرمجيات الخبيثة كخدمة (MaaS) للهواتف المحمولة على الإنترنت المظلم.

تهديد متزايد: حجم ونطاق الهجوم

ارتبط برنامج AntiDot بـ 273 حملة مختلفة، مما أدى إلى اختراق أكثر من 3775 جهازًا يعمل بنظام Android. تتميز هذه الحملات باستهداف دقيق، وغالبًا ما تعتمد على اللغة والموقع الجغرافي، مما يشير إلى تحديد انتقائي لملفات الضحايا. ينتشر البرنامج الخبيث بشكل أساسي عبر شبكات الإعلانات الخبيثة وحملات التصيد الاحتيالي، بما في ذلك تحديثات Google Play المزيفة.

MaaS للأجهزة المحمولة: نموذج أعمال LARVA-398

يتم تسويق AntiDot باعتباره حلاً "ثلاثة في واحد"، ويتم بيعه في المنتديات السرية، مما يوفر لممثلي التهديدات مجموعة أدوات قوية من أجل:

• تسجيل الشاشة عبر إساءة استخدام إمكانية الوصول
• اعتراض الرسائل النصية القصيرة
• استخراج البيانات من تطبيقات الطرف الثالث

وقد أدى هذا التسويق التجاري إلى جعله في متناول مجموعة أوسع من مجرمي الإنترنت، مما أدى إلى خفض الحاجز أمام إطلاق هجمات متقدمة على الأجهزة المحمولة.

القدرات المتقدمة: ما يمكن لـ AntiDot فعله

AntiDot مزود بمجموعة واسعة من الإمكانيات الخبيثة التي تُمكّن المهاجمين من الحفاظ على سيطرة مستمرة وخفية على الأجهزة المصابة. يُنفذ هجمات تراكبية من خلال عرض شاشات تسجيل دخول مزيفة تُحاكي التطبيقات الرسمية بشكل مُقنع، وبالتالي سرقة بيانات اعتماد المستخدم. كما يُسجل البرنامج الخبيث ضغطات المفاتيح ويراقب محتوى الشاشة لالتقاط معلومات حساسة. باستخدام واجهة برمجة تطبيقات MediaProjection في نظام أندرويد، يُمكنه التحكم في الجهاز عن بُعد، مع الحفاظ على اتصال فوري مع خوادم التحكم والقيادة عبر اتصالات WebSocket.

يستغل AntiDot خدمات إمكانية الوصول لجمع بيانات واسعة النطاق من الجهاز، ويعيّن نفسه تطبيق الرسائل النصية القصيرة الافتراضي لاعتراض الرسائل الواردة والصادرة. بالإضافة إلى ذلك، يتلاعب بالمكالمات الهاتفية عن طريق حظرها أو إعادة توجيهها، ويمنع الإشعارات لتجنب تنبيه المستخدم لأي نشاط مشبوه. هذه الميزات مجتمعة تمنح المهاجمين وصولاً شاملاً وتحكمًا كاملاً بجهاز الضحية.

سلسلة التوصيل: عملية عدوى من ثلاث مراحل

يتم تسليم البرامج الضارة بتنسيق متعدد المراحل:

ملف APK الأولي – يتم توزيعه كجزء من عمليات التصيد الاحتيالي أو التحديثات المزيفة.

تحميل الفئة الديناميكية - يتم تحميل الفئات الغامضة غير الموجودة في APK أثناء التثبيت.

تنفيذ ملف DEX – بعد الحصول على أذونات إمكانية الوصول، يقوم البرنامج الضار بفك ضغط ملف DEX ضار وتحميله والذي يحتوي على كود شبكة الروبوتات.

يؤدي استخدام AntiDot للحزم التجارية والحمولات المشفرة إلى إعاقة الكشف والهندسة العكسية بشكل كبير.

الواجهات الوهمية وسرقة بيانات الاعتماد

من أبرز أساليب AntiDot عرض شاشات تسجيل دخول مزيفة عند فتح المستخدمين لتطبيقات العملات المشفرة أو المالية. تُجلب هذه الشاشات آنيًا من خادم القيادة والتحكم (C2)، مما يسمح للمهاجمين بجمع بيانات اعتماد حساسة دون إثارة شكوك المستخدم.

البنية التحتية C2 من AntiDot: مصممة لتحقيق الكفاءة

لوحة التحكم عن بُعد للبرامج الضارة مبنية على MeteorJS، مما يتيح تفاعلاً سلسًا وفوريًا مع الأجهزة المصابة. تتضمن اللوحة ستة أقسام مميزة:

• الروبوتات: تعرض الأجهزة المصابة وبياناتها الوصفية
• الحقن: يسرد التطبيقات المستهدفة لهجمات التراكب والقوالب
• تحليلي: يتتبع التطبيقات المثبتة لتحديد الاتجاهات والأهداف المستقبلية
• الإعدادات: التحكم في معلمات الحقن وسلوك البرامج الضارة
• Gates: يدير نقاط نهاية اتصالات الروبوت
• المساعدة: توفر دعم المستخدم لمشغلي البرامج الضارة

محلي ومستمر: الخطر الحقيقي لـ AntiDot

AntiDot ليس مجرد حصان طروادة آخر لنظام أندرويد، بل هو منصة MaaS مرنة ومراوغة، تُركز على الاحتيال المالي من خلال استهداف موضعي. باستخدام تقنيات مثل حقن WebView، وسرقة بيانات الاعتماد القائمة على التراكب، واتصالات C2 الفورية، يُشكل تهديدًا خطيرًا لخصوصية المستخدم وأمن الأجهزة المحمولة.

ويحذر الباحثون من أن الاعتماد المتزايد على AntiDot والتكتيكات المتطورة تسلط الضوء على الحاجة الملحة إلى ممارسات أمان Android المحسنة والتحديثات المنتظمة ووعي المستخدم لمكافحة التهديدات الخفية بشكل متزايد مثل هذا.