Оферта за отстъпка за множество лицензи
База данни за заплахи Мобилен зловреден софтуер Зловреден софтуер AntiDot за Android

Зловреден софтуер AntiDot за Android

До Mezo през Мобилен зловреден софтуерг
Превод на:

Изследователи по киберсигурност разкриха информация за AntiDot, сложен злонамерен софтуер за Android, който е заразил хиляди устройства в стотици злонамерени кампании. Свързан с хакера, известен като LARVA-398, този зловреден софтуер илюстрира нарастващата опасност, породена от мобилните предложения за зловреден софтуер като услуга (MaaS) в тъмната мрежа.

Нарастваща заплаха: Мащаб и обхват на атаката

AntiDot е свързан с 273 различни кампании, компрометиращи над 3775 Android устройства. Кампаниите са силно таргетирани, често базирани на език и географско местоположение, което предполага селективно профилиране на жертвите. Зловредният софтуер се разпространява предимно чрез злонамерени рекламни мрежи и фишинг кампании, включително фалшиви актуализации на Google Play.

MaaS за мобилни устройства: Бизнес моделът на LARVA-398

Предлаган на пазара като решение „три в едно“, AntiDot се продава на подземни форуми, предоставяйки на злонамерените лица мощен набор от инструменти за:

  • Запис на екрана чрез злоупотреба с достъпност
  • Прихващане на SMS
  • Извличане на данни от приложения на трети страни

Тази комерсиализация го направи достъпен за по-широк кръг киберпрестъпници, намалявайки бариерата за стартиране на усъвършенствани мобилни атаки.

Разширени възможности: Какво може да прави AntiDot

AntiDot е оборудван с широк набор от злонамерени възможности, които позволяват на атакуващите да поддържат постоянен и скрит контрол над заразените устройства. Той извършва атаки с наслагване, като показва фалшиви екрани за вход, които убедително имитират легитимни приложения, като по този начин краде потребителски идентификационни данни. Злонамереният софтуер също така регистрира натисканията на клавиши и следи съдържанието на екрана, за да събира чувствителна информация. Използвайки MediaProjection API на Android, той може дистанционно да управлява устройството, като същевременно поддържа комуникация в реално време със своите сървъри за командване и контрол чрез WebSocket връзки.

AntiDot злоупотребява с услугите за достъпност, за да събира обширни данни от устройството и се настройва като SMS приложение по подразбиране за прихващане на входящи и изходящи съобщения. Освен това, манипулира телефонните обаждания, като ги блокира или пренасочва, и потиска известията, за да избегне предупреждаването на потребителя за подозрителна активност. Заедно тези функции дават на нападателите пълен достъп и контрол над устройството на жертвата.

Верига за доставка: Триетапен процес на заразяване

Зловредният софтуер се доставя в многоетапен формат:

Първоначален APK файл – Разпространява се като част от фишинг или фалшиви актуализации.

Динамично зареждане на класове – Обфускирани класове, които не присъстват в APK файла, се зареждат по време на инсталацията.

Изпълнение на DEX файл – След получаване на разрешения за достъп, зловредният софтуер разопакова и зарежда злонамерен DEX файл, съдържащ кода на ботнета.

Използването на търговски пакетиращи програми и криптирани полезни товари от AntiDot значително затруднява откриването и обратното инженерство.

Фалшиви интерфейси и кражба на идентификационни данни

Ключова тактика на AntiDot включва показване на фалшиви екрани за вход, когато потребителите отварят приложения за криптовалута или финансови приложения. Тези екрани се извличат в реално време от сървър за командване и контрол (C2), което позволява на атакуващите да улавят чувствителни идентификационни данни, без да повдигат подозрение у потребителя.

C2 инфраструктура на AntiDot: Създадена за ефективност

Панелът за дистанционно управление на зловредния софтуер е изграден върху MeteorJS, което позволява безпроблемно взаимодействие в реално време със заразените устройства. Панелът включва шест отделни секции:

  • Ботове: Показва заразените устройства и техните метаданни
  • Инжектиране: Изброява целеви приложения за наслагване на атаки и шаблони
  • Аналитичен: Проследява инсталираните приложения, за да идентифицира тенденции и бъдещи цели
  • Настройки: Контролира параметрите за инжектиране и поведението на зловредния софтуер
  • Гейтс: Управлява крайните точки за комуникация с ботове
  • Помощ: Осигурява потребителска поддръжка за оператори на зловреден софтуер

Локализирано и устойчиво: Реалната опасност от AntiDot

AntiDot е нещо повече от поредния троянски кон за Android, това е мащабируема, уклончива MaaS платформа, която се фокусира върху финансови измами чрез локализирано насочване. С техники като WebView инжектиране, кражба на идентификационни данни чрез наслагване и комуникация в реално време с C2, тя представлява сериозна заплаха за поверителността на потребителите и мобилната сигурност.

Изследователите предупреждават, че нарастващото приемане и развиващите се тактики на AntiDot подчертават спешната нужда от подобрени практики за сигурност на Android, редовни актуализации и осведоменост на потребителите за борба с все по-скрити заплахи като тази.

Тенденция

Най-гледан

Зареждане...