Monen lisenssin alennustarjous
Uhatietokanta Mobiili haittaohjelma AntiDot Android-haittaohjelma

AntiDot Android-haittaohjelma

Vuonna Mezo vuonna Mobiili haittaohjelma
Käännä:

Kyberturvallisuustutkijat ovat paljastaneet AntiDotin, hienostuneen Android-haittaohjelman, joka on tartuttanut tuhansia laitteita satojen haitallisten kampanjoiden aikana. LARVA-398-nimiseen uhkatoimijaan liittyvä haittaohjelma kuvaa mobiililaitteiden Malware-as-a-Service (MaaS) -tarjousten kasvavaa uhkaa pimeässä verkossa.

Kasvava uhka: Hyökkäyksen laajuus ja laajuus

AntiDot on yhdistetty 273 eri kampanjaan, jotka ovat tartuttaneet yli 3 775 Android-laitetta. Kampanjat ovat tarkasti kohdennettuja ja usein kielen ja maantieteellisen sijainnin perusteella, mikä viittaa valikoivaan uhrien profilointiin. Haittaohjelmaa levitetään pääasiassa haitallisten mainosverkostojen ja tietojenkalastelukampanjoiden, mukaan lukien väärennettyjen Google Play -päivitysten, kautta.

MaaS mobiililaitteille: LARVA-398:n liiketoimintamalli

AntiDotia markkinoidaan "kolme yhdessä" -ratkaisuna maanalaisilla foorumeilla, ja se tarjoaa uhkatoimijoille tehokkaan työkalupakin seuraaviin tarkoituksiin:

  • Näytön tallennus esteettömyysongelmien vuoksi
  • Tekstiviestien sieppaus
  • Tietojen poiminta kolmannen osapuolen sovelluksista

Tämä kaupallistaminen on tehnyt siitä saatavilla laajemmalle joukolle kyberrikollisia, mikä on madaltanut kynnystä edistyneiden mobiilihyökkäysten käynnistämiselle.

Edistyneet ominaisuudet: Mitä AntiDot pystyy tekemään

AntiDot on varustettu laajalla valikoimalla haitallisia ominaisuuksia, joiden avulla hyökkääjät voivat ylläpitää pysyvää ja huomaamatonta hallintaansa tartunnan saaneisiin laitteisiin. Se suorittaa päällekkäishyökkäyksiä näyttämällä väärennettyjä kirjautumisnäyttöjä, jotka matkivat uskottavasti laillisia sovelluksia ja varastaen siten käyttäjien tunnistetiedot. Haittaohjelma myös kirjaa näppäinpainalluksia ja valvoo näytön sisältöä arkaluonteisten tietojen tallentamiseksi. Androidin MediaProjection-rajapinnan avulla se voi etäohjata laitetta ja samalla ylläpitää reaaliaikaista viestintää sen komento- ja ohjauspalvelimien kanssa WebSocket-yhteyksien kautta.

AntiDot väärinkäyttää esteettömyyspalveluita kerätäkseen laitteesta laajoja tietoja ja asettaa itsensä oletusarvoiseksi tekstiviestisovellukseksi saapuvien ja lähtevien viestien sieppaamiseen. Lisäksi se manipuloi puheluita estämällä tai ohjaamalla ne uudelleen ja estää ilmoitukset, jotta käyttäjä ei saa ilmoituksia epäilyttävästä toiminnasta. Yhdessä nämä ominaisuudet antavat hyökkääjille kattavan pääsyn ja hallinnan uhrin laitteeseen.

Toimitusketju: Kolmivaiheinen tartuntaprosessi

Haittaohjelma toimitetaan monivaiheisessa muodossa:

Alkuperäinen APK-tiedosto – Levitetään osana tietojenkalastelua tai väärennettyjä päivityksiä.

Dynaaminen luokkien lataus – APK:ssa puuttuvat obfuskoidut luokat ladataan asennuksen aikana.

DEX-tiedoston suorittaminen – Saatuaan käyttöoikeudet haittaohjelma purkaa ja lataa haitallisen DEX-tiedoston, joka sisältää botnet-koodin.

AntiDotin kaupallisten pakkausohjelmien ja salattujen hyötykuormien käyttö haittaa merkittävästi havaitsemista ja takaisinmallintamista.

Väärennetyt käyttöliittymät ja tunnistetietojen varastamine

Keskeinen AntiDot-taktiikka sisältää väärennettyjen kirjautumisnäyttöjen näyttämisen käyttäjien avatessa kryptovaluutta- tai taloussovelluksia. Nämä näytöt noudetaan reaaliajassa Command-and-Control (C2) -palvelimelta, minkä ansiosta hyökkääjät voivat kaapata arkaluontoisia tunnistetietoja herättämättä käyttäjien epäilyksiä.

AntiDotin C2-infrastruktuuri: Tehokkuutta silmällä pitäen rakennettu

Haittaohjelman etäohjauspaneeli on rakennettu MeteorJS:llä, mikä mahdollistaa saumattoman reaaliaikaisen vuorovaikutuksen tartunnan saaneiden laitteiden kanssa. Paneeli sisältää kuusi erillistä osiota:

  • Botit: Näyttää tartunnan saaneet laitteet ja niiden metatiedot
  • Injektoi: Listaa kohdesovellukset päällekkäishyökkäyksille ja malleille
  • Analyyttinen: Seuraa asennettuja sovelluksia trendien ja tulevien tavoitteiden tunnistamiseksi
  • Asetukset: Hallitsee injektointiparametreja ja haittaohjelmien toimintaa
  • Portit: Hallitsee bottien tietoliikenteen päätepisteitä
  • Ohje: Tarjoaa käyttäjätukea haittaohjelmien ylläpitäjille

Paikallinen ja pysyvä: AntiDotin todellinen vaara

AntiDot on enemmän kuin vain yksi Android-troijalainen lisää. Se on skaalautuva ja välttelevä MaaS-alusta, joka keskittyy talouspetoksiin paikallisen kohdistuksen avulla. Tekniikoilla, kuten WebView-injektiolla, päällekkäisillä tunnistetietojen varkauksilla ja reaaliaikaisella C2-viestinnällä, se aiheuttaa vakavan uhan käyttäjien yksityisyydelle ja mobiiliturvallisuudelle.

Tutkijat varoittavat, että AntiDotin kasvava käyttöönotto ja kehittyvät taktiikat korostavat kiireellistä tarvetta parantaa Android-tietoturvakäytäntöjä, säännöllisiä päivityksiä ja käyttäjien tietoisuutta, jotta voidaan torjua yhä salakavalampia uhkia.

Trendaavat

Eniten katsottu

Ladataan...