Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós AntiDot per a Android

Programari maliciós AntiDot per a Android

El Mezo el Programari maliciós mòbil
Traduir a:

Investigadors de ciberseguretat han desvetllat AntiDot, un sofisticat programari maliciós per a Android que ha infectat milers de dispositius a través de centenars de campanyes malicioses. Vinculat a un actor d'amenaces conegut com a LARVA-398, aquest programari maliciós il·lustra el creixent perill que representen les ofertes de programari maliciós com a servei (MaaS) per a mòbils a la dark web.

Una amenaça creixent: escala i abast de l’atac

AntiDot s'ha associat amb 273 campanyes diferents, que han compromès més de 3.775 dispositius Android. Les campanyes són molt segmentades, sovint basades en l'idioma i la ubicació geogràfica, cosa que suggereix una perfilació selectiva de les víctimes. El programari maliciós es distribueix principalment a través de xarxes publicitàries malicioses i campanyes de phishing, incloses actualitzacions falses de Google Play.

MaaS per a mòbils: el model de negoci de LARVA-398

Comercialitzada com una solució "tres en un", AntiDot es ven en fòrums clandestins, proporcionant als actors d'amenaces un potent conjunt d'eines per a:

  • Gravació de pantalla per abús d'accessibilitat
  • Intercepció de SMS
  • Extracció de dades d'aplicacions de tercers

Aquesta comercialització l'ha fet accessible a una gamma més àmplia de ciberdelinqüents, reduint la barrera per llançar atacs mòbils avançats.

Capacitats avançades: què pot fer AntiDot

AntiDot està equipat amb una àmplia gamma de capacitats malicioses que permeten als atacants mantenir un control persistent i furtiu sobre els dispositius infectats. Duu a terme atacs superposats mostrant pantalles d'inici de sessió falses que imiten de manera convincent aplicacions legítimes, robant així les credencials dels usuaris. El programari maliciós també registra les pulsacions de tecles i monitoritza el contingut de la pantalla per capturar informació confidencial. Utilitzant l'API MediaProjection d'Android, pot controlar el dispositiu de forma remota, alhora que manté una comunicació en temps real amb els seus servidors de comandament i control a través de connexions WebSocket.

AntiDot abusa dels serveis d'accessibilitat per recopilar dades extenses del dispositiu i es configura com l'aplicació de SMS predeterminada per interceptar els missatges entrants i sortints. A més, manipula les trucades telefòniques bloquejant-les o redirigint-les i suprimeix les notificacions per evitar alertar l'usuari de qualsevol activitat sospitosa. En conjunt, aquestes funcions donen als atacants accés i control complets sobre el dispositiu de la víctima.

Cadena de lliurament: un procés d’infecció en tres etapes

El programari maliciós es lliura en un format de diverses etapes:

Fitxer APK inicial : distribuït com a part de phishing o actualitzacions falses.

Càrrega dinàmica de classes : les classes ofuscades que no són presents a l'APK es carreguen durant la instal·lació.

Execució del fitxer DEX : després d'obtenir els permisos d'accessibilitat, el programari maliciós descomprimeix i carrega un fitxer DEX maliciós que conté el codi de la botnet.

L'ús d'empaquetadors comercials i càrregues útils xifrades per part d'AntiDot dificulta significativament la detecció i l'enginyeria inversa.

Interfícies falses i robatori de credencials

Una tàctica clau d'AntiDot consisteix a presentar pantalles d'inici de sessió falses quan els usuaris obren aplicacions de criptomoneda o financeres. Aquestes pantalles s'obtenen en temps real des d'un servidor de comandament i control (C2), cosa que permet als atacants capturar credencials sensibles sense despertar sospites de l'usuari.

Infraestructura C2 d’AntiDot: Construïda per a l’eficiència

El panell de control remot del programari maliciós està basat en MeteorJS, cosa que permet una interacció en temps real sense problemes amb els dispositius infectats. El panell inclou sis seccions diferents:

  • Bots: Mostra els dispositius infectats i les seves metadades
  • Injecta: Llista les aplicacions objectiu per a atacs superposats i plantilles
  • Analític: Fa un seguiment de les aplicacions instal·lades per identificar tendències i objectius futurs
  • Configuració: Controla els paràmetres d'injecció i el comportament del programari maliciós
  • Gates: Gestiona els punts finals de comunicació dels bots
  • Ajuda: Proporciona assistència als usuaris per a operadors de programari maliciós

Localitzat i persistent: el perill real d’AntiDot

AntiDot és més que un altre troià d'Android, és una plataforma MaaS escalable i evasiva que se centra en el frau financer mitjançant la focalització localitzada. Amb tècniques com la injecció WebView, el robatori de credencials basat en superposició i les comunicacions C2 en temps real, representa una greu amenaça per a la privadesa dels usuaris i la seguretat mòbil.

Els investigadors alerten que l'adopció creixent d'AntiDot i les tàctiques en evolució destaquen la necessitat urgent de millorar les pràctiques de seguretat d'Android, actualitzacions periòdiques i conscienciació dels usuaris per combatre amenaces cada cop més furtives com aquesta.

Tendència

Més vist

Carregant...