Rabattilbud med flere licenser
Trusseldatabase Mobil malware AntiDot Android-malware

AntiDot Android-malware

Med Mezo i Mobil malware
Oversæt til:

Cybersikkerhedsforskere har afsløret AntiDot, et sofistikeret stykke Android-malware, der har inficeret tusindvis af enheder på tværs af hundredvis af ondsindede kampagner. Denne malware, der er knyttet til en trusselsaktør kendt som LARVA-398, illustrerer den voksende fare, som mobile Malware-as-a-Service (MaaS)-tilbud på det mørke web udgør.

En voksende trussel: Angrebets omfang og omfang

AntiDot er blevet forbundet med 273 forskellige kampagner, der har påvirket over 3.775 Android-enheder. Kampagnerne er meget målrettede og ofte baseret på sprog og geografisk placering, hvilket tyder på selektiv offerprofilering. Malwaren distribueres primært via ondsindede reklamenetværk og phishing-kampagner, herunder falske Google Play-opdateringer.

MaaS til mobil: LARVA-398's forretningsmodel

AntiDot markedsføres som en 'tre-i-en'-løsning på undergrundsfora og giver trusselsaktører et effektivt værktøjssæt til:

  • Skærmoptagelse via misbrug af tilgængelighed
  • SMS-aflytning
  • Dataudtrækning fra tredjepartsapps

Denne kommercialisering har gjort det tilgængeligt for en bredere vifte af cyberkriminelle, hvilket sænker barrieren for at iværksætte avancerede mobilangreb.

Avancerede funktioner: Hvad AntiDot kan gøre

AntiDot er udstyret med en bred vifte af ondsindede funktioner, der gør det muligt for angribere at opretholde vedvarende og diskret kontrol over inficerede enheder. Den udfører overlay-angreb ved at vise falske loginskærme, der overbevisende efterligner legitime apps og derved stjæler brugeroplysninger. Malwaren logger også tastetryk og overvåger skærmindhold for at indsamle følsomme oplysninger. Ved at bruge Androids MediaProjection API kan den fjernstyre enheden, samtidig med at den opretholder realtidskommunikation med sine kommando- og kontrolservere via WebSocket-forbindelser.

AntiDot misbruger tilgængelighedstjenester til at indsamle omfattende data fra enheden og indstiller sig selv som standard SMS-app til at opfange indgående og udgående beskeder. Derudover manipulerer den telefonopkald ved at blokere eller omdirigere dem og undertrykker notifikationer for at undgå at advare brugeren om mistænkelig aktivitet. Sammen giver disse funktioner angriberne omfattende adgang og kontrol over offerets enhed.

Leveringskæde: En infektionsproces i tre trin

Malwaren leveres i et flertrinsformat:

Oprindelig APK-fil – Distribueret som en del af phishing eller falske opdateringer.

Dynamisk klasseindlæsning – Obfuskerede klasser, der ikke findes i APK'en, indlæses under installationen.

DEX-filudførelse – Efter at have fået adgangstilladelser, udpakker og indlæser malwaren en ondsindet DEX-fil, der indeholder botnet-koden.

AntiDots brug af kommercielle pakkere og krypterede nyttelaster hindrer detektion og reverse engineering betydeligt.

Falske grænseflader og tyveri af legitimationsoplysninger

En central AntiDot-taktik involverer at vise falske loginskærme, når brugere åbner kryptovaluta- eller finansielle apps. Disse skærme hentes i realtid fra en Command-and-Control (C2)-server, hvilket giver angribere mulighed for at få fat i følsomme legitimationsoplysninger uden at vække mistanke hos brugeren.

AntiDots C2-infrastruktur: Bygget til effektivitet

Malwarens fjernbetjeningspanel er bygget på MeteorJS, hvilket muliggør problemfri realtidsinteraktion med inficerede enheder. Panelet indeholder seks forskellige sektioner:

  • Bots: Viser inficerede enheder og deres metadata
  • Injects: Viser målapps til overlay-angreb og skabeloner
  • Analytisk: Sporer installerede apps for at identificere tendenser og fremtidige mål
  • Indstillinger: Styrer indsprøjtningsparametre og malware-adfærd
  • Gates: Administrerer botkommunikationsslutpunkter
  • Hjælp: Yder brugersupport til malware-operatører

Lokaliseret og vedvarende: Den reelle fare ved AntiDot

AntiDot er mere end blot endnu en Android-trojaner. Det er en skalerbar, undvigende MaaS-platform, der fokuserer på økonomisk svindel gennem lokaliseret målretning. Med teknikker som WebView-injektion, overlay-baseret legitimationstyveri og C2-kommunikation i realtid udgør den en alvorlig trussel mod brugernes privatliv og mobilsikkerhed.

Forskere advarer om, at AntiDots voksende anvendelse og udviklende taktikker understreger det presserende behov for forbedrede Android-sikkerhedspraksisser, regelmæssige opdateringer og brugerbevidsthed for at bekæmpe stadig mere skjulte trusler som denne.

Trending

Mest sete

Indlæser...