قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل بدافزار اندرویدی AntiDot

بدافزار اندرویدی AntiDot

تا Mezo در بدافزار موبایل
ترجمه به:

محققان امنیت سایبری پرده از روی AntiDot، یک بدافزار پیچیده اندرویدی که هزاران دستگاه را از طریق صدها کمپین مخرب آلوده کرده است، برداشته‌اند. این بدافزار که با یک عامل تهدید به نام LARVA-398 مرتبط است، خطر رو به رشد ارائه خدمات بدافزار به عنوان سرویس (MaaS) موبایل در وب تاریک را نشان می‌دهد.

یک تهدید رو به رشد: مقیاس و دامنه حمله

AntiDot با ۲۷۳ کمپین مجزا مرتبط بوده و بیش از ۳۷۷۵ دستگاه اندرویدی را به خطر انداخته است. این کمپین‌ها بسیار هدفمند هستند و اغلب بر اساس زبان و موقعیت جغرافیایی، پروفایل قربانی را گزینشی می‌کنند. این بدافزار عمدتاً از طریق شبکه‌های تبلیغاتی مخرب و کمپین‌های فیشینگ، از جمله به‌روزرسانی‌های جعلی Google Play، توزیع می‌شود.

MaaS برای موبایل: مدل کسب و کار LARVA-398

آنتی‌دات که به عنوان یک راهکار «سه‌گانه» به بازار عرضه می‌شود، در انجمن‌های زیرزمینی فروخته می‌شود و ابزارهای قدرتمندی را در اختیار مهاجمان قرار می‌دهد:

  • ضبط صفحه نمایش از طریق سوءاستفاده از دسترسی
  • رهگیری پیامک
  • استخراج داده‌ها از برنامه‌های شخص ثالث

این تجاری‌سازی، آن را برای طیف وسیع‌تری از مجرمان سایبری قابل دسترس کرده و موانع راه‌اندازی حملات پیشرفته موبایل را کاهش داده است.

قابلیت‌های پیشرفته: آنچه AntiDot می‌تواند انجام دهد

آنتی‌دات مجهز به طیف گسترده‌ای از قابلیت‌های مخرب است که مهاجمان را قادر می‌سازد تا کنترل مداوم و مخفیانه‌ای بر روی دستگاه‌های آلوده داشته باشند. این بدافزار با نمایش صفحات ورود جعلی که به طرز متقاعدکننده‌ای برنامه‌های قانونی را تقلید می‌کنند، حملات همپوشانی را انجام می‌دهد و در نتیجه اعتبارنامه‌های کاربر را می‌دزدد. این بدافزار همچنین کلیدهای فشرده شده را ثبت می‌کند و محتوای صفحه نمایش را برای ضبط اطلاعات حساس نظارت می‌کند. با استفاده از API MediaProjection اندروید، می‌تواند از راه دور دستگاه را کنترل کند، در حالی که از طریق اتصالات WebSocket ارتباط بلادرنگ با سرورهای فرمان و کنترل خود را حفظ می‌کند.

AntiDot از سرویس‌های دسترسی سوءاستفاده می‌کند تا داده‌های گسترده‌ای را از دستگاه جمع‌آوری کند و خود را به عنوان برنامه پیش‌فرض پیامک برای رهگیری پیام‌های ورودی و خروجی تنظیم می‌کند. علاوه بر این، با مسدود کردن یا هدایت تماس‌های تلفنی، آنها را دستکاری می‌کند و اعلان‌ها را برای جلوگیری از هشدار به کاربر در مورد هرگونه فعالیت مشکوک، غیرفعال می‌کند. این ویژگی‌ها در کنار هم، به مهاجمان دسترسی و کنترل کاملی بر دستگاه قربانی می‌دهند.

زنجیره انتقال: یک فرآیند عفونت سه مرحله‌ای

این بدافزار در قالب چند مرحله‌ای ارائه می‌شود:

فایل APK اولیه - به عنوان بخشی از فیشینگ یا به‌روزرسانی‌های جعلی توزیع می‌شود.

بارگذاری پویای کلاس - کلاس‌های مبهم‌سازی‌شده‌ای که در APK وجود ندارند، در حین نصب بارگذاری می‌شوند.

اجرای فایل DEX - پس از کسب مجوزهای دسترسی، بدافزار یک فایل DEX مخرب حاوی کد بات‌نت را از حالت فشرده خارج کرده و بارگذاری می‌کند.

استفاده‌ی AntiDot از بسته‌های تجاری و بارهای رمزگذاری‌شده، به طور قابل توجهی مانع از تشخیص و مهندسی معکوس می‌شود.

رابط‌های کاربری جعلی و سرقت اطلاعات کاربری

یک تاکتیک کلیدی AntiDot شامل نمایش صفحات ورود جعلی هنگام باز کردن برنامه‌های ارز دیجیتال یا مالی توسط کاربران است. این صفحات به صورت بلادرنگ از یک سرور Command-and-Control (C2) دریافت می‌شوند و به مهاجمان اجازه می‌دهند بدون ایجاد سوءظن در کاربر، اطلاعات حساس را به دست آورند.

زیرساخت C2 شرکت AntiDot: ساخته شده برای کارایی

پنل کنترل از راه دور این بدافزار بر اساس MeteorJS ساخته شده است که امکان تعامل بی‌وقفه و بلادرنگ با دستگاه‌های آلوده را فراهم می‌کند. این پنل شامل شش بخش مجزا است:

  • ربات‌ها: دستگاه‌های آلوده و فراداده‌های آنها را نمایش می‌دهد.
  • تزریق‌ها: فهرستی از برنامه‌ها و قالب‌های هدف برای حملات همپوشانی ارائه می‌دهد.
  • تحلیلی: برنامه‌های نصب‌شده را برای شناسایی روندها و اهداف آینده دنبال می‌کند.
  • تنظیمات: پارامترهای تزریق و رفتار بدافزار را کنترل می‌کند
  • گیتس: نقاط پایانی ارتباط ربات را مدیریت می‌کند
  • راهنما: پشتیبانی کاربر را برای اپراتورهای بدافزار فراهم می‌کند

موضعی و پایدار: خطر واقعی آنتی‌دات

AntiDot چیزی بیش از یک تروجان اندرویدی دیگر است، این یک پلتفرم MaaS مقیاس‌پذیر و گریزان است که بر کلاهبرداری مالی از طریق هدف‌گیری محلی تمرکز دارد. با تکنیک‌هایی مانند تزریق WebView، سرقت اعتبارنامه مبتنی بر پوشش و ارتباطات C2 در زمان واقعی، تهدیدی جدی برای حریم خصوصی کاربران و امنیت موبایل محسوب می‌شود.

محققان هشدار می‌دهند که افزایش استفاده از آنتی‌دات و تاکتیک‌های در حال تکامل آن، نیاز مبرم به اقدامات امنیتی پیشرفته اندروید، به‌روزرسانی‌های منظم و آگاهی کاربران برای مقابله با تهدیدهای مخفیانه‌ای مانند این را برجسته می‌کند.

پرطرفدار

پربیننده ترین

بد افزار

فیشینگ, هرزنامه
35,032
پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
بارگذاری...