תוכנות זדוניות לאנדרואיד של AntiDot
חוקרי אבטחת סייבר חשפו את AntiDot, תוכנה זדונית מתוחכמת לאנדרואיד שהדביקה אלפי מכשירים במאות קמפיינים זדוניים. תוכנה זדונית זו, המקושרת לגורם איום המכונה LARVA-398, ממחישה את הסכנה הגוברת שמציבות הצעות Malware-as-a-Service (MaaS) למכשירים ניידים ברשת האפלה.
תוכן העניינים
איום גובר: היקף והיקף ההתקפה
AntiDot נקשרה ל-273 קמפיינים שונים, ופגעה ביותר מ-3,775 מכשירי אנדרואיד. הקמפיינים ממוקדים מאוד, לרוב מבוססים על שפה ומיקום גיאוגרפי, דבר המצביע על יצירת פרופילים סלקטיביים של קורבנות. התוכנה הזדונית מופצת בעיקר באמצעות רשתות פרסום זדוניות וקמפיינים של פישינג, כולל עדכונים מזויפים של גוגל פליי.
MaaS למובייל: מודל העסקי של LARVA-398
AntiDot, המשווק כפתרון "שלושה באחד", נמכר בפורומים מחתרתיים, ומספק לגורמי איום ערכת כלים עוצמתית עבור:
- הקלטת מסך עקב שימוש לרעה בנגישות
- יירוט SMS
- שאיבת נתונים מאפליקציות צד שלישי
מסחור זה הפך אותו לנגיש למגוון רחב יותר של פושעי סייבר, מה שהוריד את המחסום להשקת מתקפות מתקדמות על ניידים.
יכולות מתקדמות: מה AntiDot יכולה לעשות
AntiDot מצוידת במגוון רחב של יכולות זדוניות המאפשרות לתוקפים לשמור על שליטה מתמשכת וחשאית על מכשירים נגועים. היא מבצעת התקפות שכבת-על על ידי הצגת מסכי כניסה מזויפים המחקים באופן משכנע אפליקציות לגיטימיות, ובכך גונבת פרטי משתמש. הנוזקה גם רושמת הקשות מקלדת ומנטרת תוכן מסך כדי ללכוד מידע רגיש. באמצעות ממשק ה-API של MediaProjection של אנדרואיד, היא יכולה לשלוט מרחוק במכשיר, תוך שמירה על תקשורת בזמן אמת עם שרתי הפיקוד והבקרה שלה דרך חיבורי WebSocket.
AntiDot מנצלת לרעה שירותי נגישות כדי לאסוף נתונים נרחבים מהמכשיר ומגדירה את עצמה כאפליקציית ה-SMS המוגדרת כברירת מחדל ליירוט הודעות נכנסות ויוצאות. בנוסף, היא מנטרת שיחות טלפון על ידי חסימה או ניתוב מחדש שלהן ומדכאת התראות כדי למנוע התרעה למשתמש על כל פעילות חשודה. יחד, תכונות אלו מעניקות לתוקפים גישה ושליטה מקיפות על מכשיר הקורבן.
שרשרת הדבקה: תהליך הדבקה בן שלושה שלבים
התוכנה הזדונית מועברת בפורמט רב-שלבי:
קובץ APK ראשוני – הופץ כחלק מפישינג או עדכונים מזויפים.
טעינת מחלקות דינמית – מחלקות מעורפלות שאינן קיימות ב-APK נטענות במהלך ההתקנה.
הרצת קובץ DEX – לאחר קבלת הרשאות נגישות, התוכנה הזדונית פורקת וטוענת קובץ DEX זדוני המכיל את קוד הבוטנט.
השימוש של AntiDot במארזים מסחריים ומטענים מוצפנים מעכב משמעותית את הזיהוי וההנדסה הפוכה.
ממשקים מזויפים וגניבת אישורים
טקטיקה מרכזית של AntiDot כוללת הצגת מסכי כניסה מזויפים כאשר משתמשים פותחים אפליקציות של מטבעות קריפטוגרפיים או אפליקציות פיננסיות. מסכים אלה נשלפים בזמן אמת משרת פיקוד ובקרה (C2), מה שמאפשר לתוקפים ללכוד אישורים רגישים מבלי לעורר חשד בקרב המשתמשים.
תשתית C2 של AntiDot: בנויה ליעילות
לוח הבקרה מרחוק של הנוזקה בנוי על MeteorJS, המאפשר אינטראקציה חלקה בזמן אמת עם מכשירים נגועים. הלוח כולל שישה חלקים נפרדים:
- בוטים: מציג מכשירים נגועים והמטא-דאטה שלהם
- הזרקות: מציג רשימה של אפליקציות יעד עבור התקפות שכבת-על ותבניות
- אנליטי: מעקב אחר אפליקציות מותקנות כדי לזהות מגמות ויעדים עתידיים
- הגדרות: שולט בפרמטרי הזרקה והתנהגות תוכנות זדוניות
- גייטס: ניהול נקודות קצה של תקשורת בוטים
- עזרה: מספק תמיכת משתמשים עבור מפעילי תוכנות זדוניות
מקומי ומתמשך: הסכנה האמיתית של AntiDot
AntiDot הוא יותר מסתם עוד טרויאן אנדרואיד, זוהי פלטפורמת MaaS ניתנת להרחבה וחמקמקה המתמקדת בהונאות פיננסיות באמצעות מיקוד מקומי. בעזרת טכניקות כמו הזרקת WebView, גניבת אישורים מבוססת שכבת-על ותקשורת C2 בזמן אמת, היא מהווה איום חמור על פרטיות המשתמשים ואבטחת המובייל.
חוקרים מזהירים כי האימוץ הגובר והטקטיקות המתפתחות של AntiDot מדגישות את הצורך הדחוף בשיפור שיטות האבטחה של אנדרואיד, עדכונים שוטפים ומודעות משתמשים כדי להילחם באיומים חשאיים יותר ויותר כמו זה.
