Több licencre vonatkozó kedvezményes árajánlat
Veszély-adatbázis Mobil rosszindulatú program AntiDot Android kártevő

AntiDot Android kártevő

Mezo -ra Mobil rosszindulatú program-ben
Fordítás ide:

Kiberbiztonsági kutatók leleplezték az AntiDot nevű kifinomult Android-malware-t, amely több száz rosszindulatú kampány során több ezer eszközt fertőzött meg. A LARVA-398 néven ismert fenyegetéshez köthető kártevő jól mutatja a dark weben kínált mobil kártevő-szolgáltatásként (MaaS) kínált szolgáltatások által jelentett növekvő veszélyt.

Növekvő fenyegetés: a támadás mértéke és hatóköre

Az AntiDot-ot 273 különálló kampánnyal hozták összefüggésbe, több mint 3775 Android-eszközt támadva. A kampányok célzottak, gyakran nyelvi és földrajzi elhelyezkedési alapon, ami szelektív áldozatprofilozásra utal. A rosszindulatú program elsősorban rosszindulatú hirdetési hálózatokon és adathalász kampányokon, többek között hamis Google Play-frissítéseken keresztül terjed.

MaaS mobilra: A LARVA-398 üzleti modellje

Az AntiDot-ot „három az egyben” megoldásként forgalmazzák, és illegális fórumokon értékesítik, hatékony eszköztárat biztosítva a fenyegetések elkövetőinek a következőkhöz:

  • Képernyőfelvétel akadálymentesítési visszaélés miatt
  • SMS-lehallgatás
  • Adatok kinyerése harmadik féltől származó alkalmazásokból

Ez a kereskedelmi forgalomba hozatal szélesebb körű kiberbűnözők számára tette elérhetővé, csökkentve a fejlett mobil támadások indításának akadályát.

Speciális funkciók: Mit tud az AntiDot?

Az AntiDot számos rosszindulatú képességgel rendelkezik, amelyek lehetővé teszik a támadók számára, hogy tartós és lopakodó irányítást tartsanak fenn a fertőzött eszközök felett. Átfedési támadásokat hajt végre hamis bejelentkezési képernyők megjelenítésével, amelyek meggyőzően utánozzák a legitim alkalmazásokat, ezáltal ellopva a felhasználói hitelesítő adatokat. A rosszindulatú program naplózza a billentyűleütéseket és figyeli a képernyő tartalmát, hogy érzékeny információkat rögzítsen. Az Android MediaProjection API-ját használva távolról vezérelheti az eszközt, miközben valós idejű kommunikációt tart fenn a parancs- és vezérlőszerverekkel WebSocket-kapcsolatokon keresztül.

Az AntiDot visszaél az akadálymentesítési szolgáltatásokkal, hogy kiterjedt adatokat gyűjtsön az eszközről, és alapértelmezett SMS-alkalmazásként állítja be magát a bejövő és kimenő üzenetek elfogására. Ezenkívül manipulálja a telefonhívásokat blokkolással vagy átirányítással, és elnyomja az értesítéseket, hogy elkerülje a felhasználó figyelmeztetését a gyanús tevékenységekről. Ezek a funkciók együttesen átfogó hozzáférést és irányítást biztosítanak a támadóknak az áldozat eszköze felett.

Szállítási lánc: Háromlépcsős fertőzési folyamat

A rosszindulatú program többlépcsős formátumban érkezik:

Kezdeti APK fájl – Adathalászat vagy hamis frissítések részeként terjeszthető.

Dinamikus osztályok betöltése – A telepítés során a rendszer betölti azokat az elrejtett osztályokat, amelyek nem szerepelnek az APK-ban.

DEX fájl végrehajtása – Miután hozzáférési engedélyeket kapott, a rosszindulatú program kicsomagolja és betölti a botnet kódját tartalmazó rosszindulatú DEX fájlt.

Az AntiDot kereskedelmi csomagolóprogramjainak és titkosított adatainak használata jelentősen akadályozza a felderítést és a visszafejtést.

Hamis interfészek és hitelesítő adatok ellopása

Az AntiDot egyik kulcsfontosságú taktikája a hamis bejelentkezési képernyők megjelenítése, amikor a felhasználók kriptovaluta vagy pénzügyi alkalmazásokat nyitnak meg. Ezeket a képernyőket valós időben töltik le egy Command-and-Control (C2) szerverről, lehetővé téve a támadók számára, hogy bizalmas hitelesítő adatokat szerezzenek anélkül, hogy gyanút keltenének a felhasználókban.

Az AntiDot C2 infrastruktúrája: Hatékonyságra tervezve

A kártevő távoli vezérlőpanelje a MeteorJS-re épül, lehetővé téve a zökkenőmentes, valós idejű interakciót a fertőzött eszközökkel. A panel hat különálló részből áll:

  • Botok: Megjeleníti a fertőzött eszközöket és azok metaadatait
  • Befecskendezés: Felsorolja a célalkalmazásokat az átfedő támadásokhoz és sablonokhoz.
  • Analitikai: Nyomon követi a telepített alkalmazásokat a trendek és a jövőbeli célok azonosítása érdekében.
  • Beállítások: A befecskendezési paramétereket és a rosszindulatú programok viselkedését szabályozza.
  • Kapuk: Kezeli a botok kommunikációs végpontjait
  • Súgó: Felhasználói támogatást nyújt a rosszindulatú programok üzemeltetőinek

Lokalizált és tartós: Az AntiDot valódi veszélye

Az AntiDot több mint egy újabb Android trójai: egy skálázható, kitérő MaaS platform, amely lokalizált célzáson keresztül a pénzügyi csalásokra összpontosít. Az olyan technikákkal, mint a WebView injektálás, az overlay-alapú hitelesítőadat-lopás és a valós idejű C2 kommunikáció, komoly fenyegetést jelent a felhasználók adatainak védelmére és a mobilbiztonságra.

A kutatók figyelmeztetnek, hogy az AntiDot egyre növekvő alkalmazása és fejlődő taktikái rávilágítanak arra, hogy sürgősen szükség van a továbbfejlesztett Android biztonsági gyakorlatokra, a rendszeres frissítésekre és a felhasználói tudatosságra az ehhez hasonló, egyre lopakodóbb fenyegetések leküzdéséhez.

Felkapott

Legnézettebb

Betöltés...