Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili Malware Android AntiDot

Malware Android AntiDot

Entro Mezo nel Malware per dispositivi mobili
Traduci in:

I ricercatori di sicurezza informatica hanno svelato i dettagli di AntiDot, un sofisticato malware per Android che ha infettato migliaia di dispositivi in centinaia di campagne dannose. Collegato a un autore di minacce noto come LARVA-398, questo malware illustra il crescente pericolo rappresentato dalle offerte di Malware-as-a-Service (MaaS) per dispositivi mobili sul dark web.

Una minaccia crescente: portata e portata dell’attacco

AntiDot è stato associato a 273 campagne distinte, che hanno compromesso oltre 3.775 dispositivi Android. Le campagne sono altamente mirate, spesso basate su lingua e posizione geografica, il che suggerisce una profilazione selettiva delle vittime. Il malware viene distribuito principalmente attraverso reti pubblicitarie dannose e campagne di phishing, inclusi falsi aggiornamenti di Google Play.

MaaS per dispositivi mobili: il modello di business di LARVA-398

Commercializzato come una soluzione "tre in uno", AntiDot viene venduto su forum underground e fornisce agli autori delle minacce un potente toolkit per:

  • Registrazione dello schermo tramite abuso dell'accessibilità
  • Intercettazione SMS
  • Estrazione di dati da app di terze parti

Questa commercializzazione lo ha reso accessibile a una gamma più ampia di criminali informatici, abbassando la barriera per il lancio di attacchi mobili avanzati.

Funzionalità avanzate: cosa può fare AntiDot

AntiDot è dotato di un'ampia gamma di funzionalità dannose che consentono agli aggressori di mantenere un controllo persistente e furtivo sui dispositivi infetti. Esegue attacchi overlay visualizzando schermate di accesso false che imitano in modo convincente app legittime, rubando così le credenziali dell'utente. Il malware registra anche le sequenze di tasti premuti e monitora il contenuto dello schermo per acquisire informazioni sensibili. Utilizzando l'API MediaProjection di Android, può controllare il dispositivo da remoto, mantenendo al contempo una comunicazione in tempo reale con i suoi server di comando e controllo tramite connessioni WebSocket.

AntiDot sfrutta i servizi di accessibilità per raccogliere numerosi dati dal dispositivo e si imposta come app SMS predefinita per intercettare i messaggi in entrata e in uscita. Inoltre, manipola le chiamate telefoniche bloccandole o reindirizzandole e sopprime le notifiche per evitare di avvisare l'utente di attività sospette. Insieme, queste funzionalità offrono agli aggressori accesso e controllo completi sul dispositivo della vittima.

Catena di distribuzione: un processo di infezione in tre fasi

Il malware viene distribuito in un formato multifase:

File APK iniziale : distribuito come parte di phishing o di aggiornamenti falsi.

Caricamento dinamico delle classi : durante l'installazione vengono caricate classi offuscate non presenti nell'APK.

Esecuzione del file DEX : dopo aver ottenuto i permessi di accessibilità, il malware decomprime e carica un file DEX dannoso contenente il codice della botnet.

L'utilizzo da parte di AntiDot di pacchetti commerciali e di payload crittografati ostacola notevolmente il rilevamento e la reverse engineering.

Interfacce fasulle e furto di credenziali

Una tattica chiave di AntiDot consiste nel presentare schermate di accesso false quando gli utenti aprono app di criptovalute o finanziarie. Queste schermate vengono recuperate in tempo reale da un server di comando e controllo (C2), consentendo agli aggressori di acquisire credenziali sensibili senza destare sospetti negli utenti.

Infrastruttura C2 di AntiDot: progettata per l’efficienza

Il pannello di controllo remoto del malware è basato su MeteorJS, consentendo un'interazione fluida e in tempo reale con i dispositivi infetti. Il pannello comprende sei sezioni distinte:

  • Bot: visualizza i dispositivi infetti e i relativi metadati
  • Inietta: elenca le app di destinazione per attacchi overlay e modelli
  • Analitico: tiene traccia delle app installate per identificare tendenze e obiettivi futuri
  • Impostazioni: controlla i parametri di iniezione e il comportamento del malware
  • Gates: gestisce gli endpoint di comunicazione dei bot
  • Aiuto: fornisce supporto agli utenti per gli operatori di malware

Localizzato e persistente: il vero pericolo di AntiDot

AntiDot è più di un semplice trojan per Android: è una piattaforma MaaS scalabile ed elusiva che si concentra sulle frodi finanziarie attraverso attacchi localizzati. Con tecniche come l'iniezione di WebView, il furto di credenziali basato su overlay e le comunicazioni C2 in tempo reale, rappresenta una seria minaccia per la privacy degli utenti e la sicurezza dei dispositivi mobili.

I ricercatori avvertono che la crescente adozione di AntiDot e le sue tattiche in evoluzione evidenziano l'urgente necessità di migliorare le pratiche di sicurezza Android, di aggiornamenti regolari e di una maggiore consapevolezza da parte degli utenti per combattere minacce sempre più subdole come questa.

Tendenza

I più visti

Caricamento in corso...