Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά AntiDot Κακόβουλο Λογισμικό Android

AntiDot Κακόβουλο Λογισμικό Android

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά
Μετάφραση σε:

Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν το AntiDot, ένα εξελιγμένο κακόβουλο λογισμικό Android που έχει μολύνει χιλιάδες συσκευές μέσω εκατοντάδων κακόβουλων καμπανιών. Συνδεδεμένο με έναν απειλητικό παράγοντα γνωστό ως LARVA-398, αυτό το κακόβουλο λογισμικό καταδεικνύει τον αυξανόμενο κίνδυνο που θέτουν οι προσφορές Malware-as-a-Service (MaaS) για κινητά στο dark web.

Μια αυξανόμενη απειλή: Κλίμακα και εύρος της επίθεσης

Το AntiDot έχει συσχετιστεί με 273 ξεχωριστές καμπάνιες, οι οποίες έχουν θέσει σε κίνδυνο πάνω από 3.775 συσκευές Android. Οι καμπάνιες είναι ιδιαίτερα στοχευμένες, συχνά με βάση τη γλώσσα και τη γεωγραφική τοποθεσία, γεγονός που υποδηλώνει επιλεκτική δημιουργία προφίλ των θυμάτων. Το κακόβουλο λογισμικό διανέμεται κυρίως μέσω κακόβουλων διαφημιστικών δικτύων και καμπανιών ηλεκτρονικού "ψαρέματος" (phishing), συμπεριλαμβανομένων ψεύτικων ενημερώσεων του Google Play.

MaaS για Κινητά: Το Επιχειρηματικό Μοντέλο της LARVA-398

Διαφημιζόμενο ως λύση «τριών σε ένα», το AntiDot πωλείται σε underground φόρουμ, παρέχοντας στους απειλητικούς παράγοντες ένα ισχυρό σύνολο εργαλείων για:

  • Εγγραφή οθόνης μέσω κατάχρησης προσβασιμότητας
  • Υποκλοπή SMS
  • Εξαγωγή δεδομένων από εφαρμογές τρίτων

Αυτή η εμπορευματοποίηση το έχει καταστήσει προσβάσιμο σε ένα ευρύτερο φάσμα κυβερνοεγκληματιών, μειώνοντας το εμπόδιο για την έναρξη προηγμένων επιθέσεων μέσω κινητών συσκευών.

Προηγμένες δυνατότητες: Τι μπορεί να κάνει το AntiDot

Το AntiDot είναι εξοπλισμένο με ένα ευρύ φάσμα κακόβουλων δυνατοτήτων που επιτρέπουν στους εισβολείς να διατηρούν επίμονο και κρυφό έλεγχο των μολυσμένων συσκευών. Πραγματοποιεί επιθέσεις επικάλυψης εμφανίζοντας ψεύτικες οθόνες σύνδεσης που μιμούνται πειστικά νόμιμες εφαρμογές, κλέβοντας έτσι τα διαπιστευτήρια των χρηστών. Το κακόβουλο λογισμικό καταγράφει επίσης τις πληκτρολογήσεις και παρακολουθεί το περιεχόμενο της οθόνης για να καταγράψει ευαίσθητες πληροφορίες. Χρησιμοποιώντας το MediaProjection API του Android, μπορεί να ελέγχει εξ αποστάσεως τη συσκευή, διατηρώντας παράλληλα επικοινωνία σε πραγματικό χρόνο με τους διακομιστές εντολών και ελέγχου μέσω συνδέσεων WebSocket.

Το AntiDot καταχράται τις υπηρεσίες προσβασιμότητας για να συλλέξει εκτεταμένα δεδομένα από τη συσκευή και ορίζει τον εαυτό του ως την προεπιλεγμένη εφαρμογή SMS για την παρακολούθηση εισερχόμενων και εξερχόμενων μηνυμάτων. Επιπλέον, χειραγωγεί τις τηλεφωνικές κλήσεις μπλοκάροντάς τες ή ανακατευθύνοντάς τες και καταστέλλοντας τις ειδοποιήσεις για να αποφύγει την ειδοποίηση του χρήστη για οποιαδήποτε ύποπτη δραστηριότητα. Μαζί, αυτές οι λειτουργίες δίνουν στους εισβολείς πλήρη πρόσβαση και έλεγχο στη συσκευή του θύματος.

Αλυσίδα Παράδοσης: Μια Διαδικασία Μόλυνσης Τριών Σταδίων

Το κακόβουλο λογισμικό παρέχεται σε μορφή πολλαπλών σταδίων:

Αρχικό αρχείο APK – Διανέμεται ως μέρος ηλεκτρονικού "ψαρέματος" (phishing) ή ψεύτικων ενημερώσεων.

Δυναμική φόρτωση κλάσης – Οι κρυφές κλάσεις που δεν υπάρχουν στο APK φορτώνονται κατά την εγκατάσταση.

Εκτέλεση αρχείου DEX – Αφού αποκτήσει δικαιώματα προσβασιμότητας, το κακόβουλο λογισμικό αποσυμπιέζει και φορτώνει ένα κακόβουλο αρχείο DEX που περιέχει τον κώδικα botnet.

Η χρήση εμπορικών συσκευαστών και κρυπτογραφημένων ωφέλιμων φορτίων από την AntiDot παρεμποδίζει σημαντικά την ανίχνευση και την αντίστροφη μηχανική.

Ψεύτικες διεπαφές και κλοπή διαπιστευτηρίων

Μια βασική τακτική της AntiDot περιλαμβάνει την εμφάνιση ψεύτικων οθονών σύνδεσης όταν οι χρήστες ανοίγουν εφαρμογές κρυπτονομισμάτων ή χρηματοοικονομικών εφαρμογών. Αυτές οι οθόνες ανακτώνται σε πραγματικό χρόνο από έναν διακομιστή Command-and-Control (C2), επιτρέποντας στους εισβολείς να καταγράφουν ευαίσθητα διαπιστευτήρια χωρίς να εγείρουν υποψίες στους χρήστες.

Υποδομή C2 της AntiDot: Κατασκευασμένη για Αποδοτικότητα

Ο πίνακας τηλεχειρισμού του κακόβουλου λογισμικού βασίζεται στο MeteorJS, επιτρέποντας την απρόσκοπτη αλληλεπίδραση σε πραγματικό χρόνο με μολυσμένες συσκευές. Ο πίνακας περιλαμβάνει έξι ξεχωριστές ενότητες:

  • Bots: Εμφανίζει μολυσμένες συσκευές και τα μεταδεδομένα τους
  • Injections: Παραθέτει εφαρμογές-στόχους για επιθέσεις επικάλυψης και πρότυπα
  • Αναλυτικό: Παρακολουθεί τις εγκατεστημένες εφαρμογές για τον εντοπισμό τάσεων και μελλοντικών στόχων
  • Ρυθμίσεις: Ελέγχει τις παραμέτρους έγχυσης και τη συμπεριφορά κακόβουλου λογισμικού
  • Gates: Διαχειρίζεται τα τελικά σημεία επικοινωνίας των bot
  • Βοήθεια: Παρέχει υποστήριξη χρηστών για χειριστές κακόβουλου λογισμικού

Τοπική και επίμονη δράση: Ο πραγματικός κίνδυνος του AntiDot

Το AntiDot είναι κάτι περισσότερο από ένα απλό trojan Android, είναι μια επεκτάσιμη, αόριστη πλατφόρμα MaaS που εστιάζει στην οικονομική απάτη μέσω τοπικής στόχευσης. Με τεχνικές όπως η έγχυση WebView, η κλοπή διαπιστευτηρίων με βάση την επικάλυψη και οι επικοινωνίες C2 σε πραγματικό χρόνο, αποτελεί σοβαρή απειλή για το απόρρητο των χρηστών και την ασφάλεια των κινητών τηλεφώνων.

Οι ερευνητές προειδοποιούν ότι η αυξανόμενη υιοθέτηση και οι εξελισσόμενες τακτικές του AntiDot υπογραμμίζουν την επείγουσα ανάγκη για βελτιωμένες πρακτικές ασφαλείας Android, τακτικές ενημερώσεις και ευαισθητοποίηση των χρηστών για την καταπολέμηση ολοένα και πιο αθέατων απειλών όπως αυτή.

Τάσεις

Περισσότερες εμφανίσεις

Κακόβουλο λογισμικό

Phishing, Ανεπιθύμητη αλληλογραφία
35,032
Το μήνυμα απάτης «Apple Pay Suspended» είναι ένας τύπος τακτικής phishing που στοχεύει χρήστες του Apple Pay. Το μήνυμα υποστηρίζει ότι το πορτοφόλι Apple Pay του χρήστη έχει τεθεί σε αναστολή και τους προτρέπει να κάνουν κλικ σε έναν σύνδεσμο για να το επαναφέρουν. Ωστόσο, κάνοντας κλικ στον σύνδεσμο θα μεταφερθεί ο χρήστης σε έναν ψεύτικο ιστότοπο που έχει σχεδιαστεί για να κλέβει τα...
Φόρτωση...