Mitme litsentsi allahindluspakkumine
Ohtude andmebaas Mobiilne pahavara AntiDot Androidi pahavara

AntiDot Androidi pahavara

Aastaks Mezo aastal Mobiilne pahavara
Tõlgi:

Küberturvalisuse uurijad on paljastanud AntiDoti, keeruka Androidi pahavara, mis on sadade pahatahtlike kampaaniate käigus nakatanud tuhandeid seadmeid. Seotud ohuteguriga LARVA-398 näitab see pahavara kasvavat ohtu, mida kujutavad endast mobiilsed pahavara-teenusena (MaaS) pakutavad lahendused tumeveebis.

Kasvav oht: rünnaku ulatus ja ulatus

AntiDoti on seostatud 273 erineva kampaaniaga, mis on nakatanud üle 3775 Androidi seadme. Kampaaniad on väga sihipärased, sageli keele ja geograafilise asukoha põhjal, mis viitab ohvrite valikulisele profileerimisele. Pahavara levitatakse peamiselt pahatahtlike reklaamivõrgustike ja andmepüügikampaaniate kaudu, sealhulgas võltsitud Google Play värskenduste kaudu.

MaaS mobiilseadmetele: LARVA-398 ärimudel

AntiDoti turustatakse „kolm-ühes“ lahendusena ja seda müüakse salajastes foorumites, pakkudes ohutegelastele võimsat tööriistakomplekti järgmiseks:

  • Ekraanisalvestus ligipääsetavuse kuritarvitamise kaudu
  • SMS-i pealtkuulamine
  • Andmete ekstraheerimine kolmandate osapoolte rakendustest

See kommertsialiseerimine on muutnud selle kättesaadavaks laiemale küberkurjategijate ringile, vähendades takistust täiustatud mobiilirünnakute käivitamiseks.

Täiustatud võimalused: mida AntiDot suudab teha

AntiDot on varustatud laia valiku pahatahtlike võimalustega, mis võimaldavad ründajatel säilitada püsivat ja salajast kontrolli nakatunud seadmete üle. See viib läbi pealiskaudseid rünnakuid, kuvades võltsitud sisselogimisekraane, mis veenvalt matkivad legitiimseid rakendusi, varastades seeläbi kasutajaandmeid. Pahavara logib ka klahvivajutusi ja jälgib ekraani sisu, et jäädvustada tundlikku teavet. Androidi MediaProjection API abil saab see seadet kaugjuhtimise teel juhtida, säilitades samal ajal reaalajas suhtluse oma juhtimisserveritega WebSocket-ühenduste kaudu.

AntiDot kuritarvitab ligipääsetavuse teenuseid, et seadmest ulatuslikke andmeid koguda, ning määrab end sissetulevate ja väljaminevate sõnumite pealtkuulamiseks vaikimisi SMS-rakenduseks. Lisaks manipuleerib see telefonikõnedega, blokeerides või suunates need ümber, ja pärsib märguandeid, et vältida kasutaja teavitamist kahtlasest tegevusest. Koos annavad need funktsioonid ründajatele ulatusliku juurdepääsu ja kontrolli ohvri seadme üle.

Tarneahel: kolmeastmeline nakkusprotsess

Pahavara edastatakse mitmeastmelises vormingus:

Esialgne APK-fail – levitatakse andmepüügi või võltsitud värskenduste osana.

Dünaamiline klasside laadimine – installimise ajal laaditakse APK-s puuduvad hägustatud klassid.

DEX-faili käivitamine – Pärast ligipääsetavusõiguste saamist pakib pahavara lahti ja laadib pahatahtliku DEX-faili, mis sisaldab botneti koodi.

AntiDoti kommertspakkijate ja krüpteeritud kasulike koormuste kasutamine takistab oluliselt tuvastamist ja pöördprojekteerimist.

Võltsitud liidesed ja volituste vargus

AntiDoti peamine taktika hõlmab võltsitud sisselogimisekraanide kuvamist krüptovaluuta- või finantsrakenduste avamisel. Need ekraanid laaditakse reaalajas käsu- ja juhtimisserverist (C2), mis võimaldab ründajatel jäädvustada tundlikke volitusi ilma kasutajas kahtlust tekitamata.

AntiDoti C2 infrastruktuur: loodud efektiivsust silmas pidades

Pahavara kaugjuhtimispaneel on üles ehitatud MeteorJS-ile, mis võimaldab sujuvat reaalajas suhtlust nakatunud seadmetega. Paneel sisaldab kuut eraldi sektsiooni:

  • Botid: Kuvab nakatunud seadmeid ja nende metaandmeid
  • Süstib: Loetleb sihtrakendused ülekatterünnakute ja mallide jaoks
  • Analüütiline: Jälgib installitud rakendusi, et tuvastada trende ja tulevasi eesmärke
  • Seaded: Juhib süstimisparameetreid ja pahavara käitumist
  • Väravad: Haldab bottide suhtluse lõpp-punkte
  • Abi: Pakub kasutajatuge pahavara haldajatele

Lokaliseeritud ja püsiv: AntiDoti tegelik oht

AntiDot on enamat kui lihtsalt järjekordne Androidi trooja – see on skaleeritav ja hajutatav MaaS-platvorm, mis keskendub finantspettustele lokaliseeritud sihtimise kaudu. Selliste tehnikate abil nagu WebView süstimine, pealiskihil põhinev volituste vargus ja reaalajas C2-suhtlus kujutab see endast tõsist ohtu kasutajate privaatsusele ja mobiilside turvalisusele.

Teadlased hoiatavad, et AntiDoti kasvav kasutuselevõtt ja arenevad taktikad toovad esile pakilise vajaduse täiustatud Androidi turvapraktikate, regulaarsete värskenduste ja kasutajate teadlikkuse järele, et võidelda üha salakavalamate ohtudega.

Trendikas

Enim vaadatud

Laadimine...