Kelių licencijų nuolaidos pasiūlymas
Grėsmių duomenų bazė Kenkėjiška programa mobiliesiems „AntiDot“ kenkėjiška programa „Android“

„AntiDot“ kenkėjiška programa „Android“

Autorius Mezo, Kenkėjiška programa mobiliesiems
Versti į:

Kibernetinio saugumo tyrėjai atskleidė „AntiDot“ – sudėtingą „Android“ kenkėjišką programą, kuri užkrėtė tūkstančius įrenginių per šimtus kenkėjiškų kampanijų. Ši kenkėjiška programa, susieta su grėsmės veikėju LARVA-398, iliustruoja augantį pavojų, kurį kelia mobiliųjų įrenginių kenkėjiškų programų kaip paslaugos (MaaS) pasiūlymai tamsiajame internete.

Auganti grėsmė: išpuolio mastas ir apimtis

„AntiDot“ buvo siejama su 273 skirtingomis kampanijomis, per kurias buvo užkrėsti daugiau nei 3775 „Android“ įrenginiai. Kampanijos yra labai tikslinės, dažnai pagrįstos kalba ir geografine vieta, o tai rodo selektyvų aukų profiliavimą. Kenkėjiška programa daugiausia platinama per kenkėjiškus reklamos tinklus ir sukčiavimo kampanijas, įskaitant netikrus „Google Play“ atnaujinimus.

„MaaS“ mobiliesiems įrenginiams: LARVA-398 verslo modelis

„AntiDot“, parduodamas kaip „trijų viename“ sprendimas, pogrindiniuose forumuose suteikia galingą įrankių rinkinį grėsmės veikėjams, skirtą:

  • Ekrano įrašymas dėl netinkamo pritaikymo neįgaliesiems piktnaudžiavimo
  • SMS perėmimas
  • Duomenų išgavimas iš trečiųjų šalių programų

Dėl šios komercializacijos jis tapo prieinamas platesniam kibernetinių nusikaltėlių ratui, sumažinant kliūtis pradėti pažangias mobiliąsias atakas.

Išplėstinės galimybės: ką gali „AntiDot“

„AntiDot“ aprūpinta daugybe kenkėjiškų funkcijų, leidžiančių užpuolikams nuolat ir slapta kontroliuoti užkrėstus įrenginius. Ji vykdo perdengimo atakas rodydama netikrus prisijungimo ekranus, kurie įtikinamai imituoja teisėtas programas, taip pavogdama naudotojų kredencialus. Kenkėjiška programa taip pat registruoja klavišų paspaudimus ir stebi ekrano turinį, kad užfiksuotų slaptą informaciją. Naudodama „Android“ „MediaProjection“ API, ji gali nuotoliniu būdu valdyti įrenginį, palaikydama realaus laiko ryšį su savo komandų ir valdymo serveriais per „WebSocket“ ryšius.

„AntiDot“ piktnaudžiauja pritaikymo neįgaliesiems paslaugomis, kad surinktų didelius duomenis iš įrenginio, ir nustato save kaip numatytąją SMS programėlę, kuri perima gaunamus ir siunčiamus pranešimus. Be to, ji manipuliuoja telefono skambučiais juos blokuodama arba peradresuodama ir slopina pranešimus, kad vartotojas nebūtų įspėtas apie bet kokią įtartiną veiklą. Visos šios funkcijos suteikia užpuolikams visapusišką prieigą prie aukos įrenginio ir jo valdymą.

Pristatymo grandinė: trijų etapų infekcijos procesas

Kenkėjiška programa pateikiama keliais etapais:

Pradinis APK failas – platinamas kaip sukčiavimo apsimetant arba netikrų atnaujinimų dalis.

Dinaminis klasių įkėlimas – diegimo metu įkeliamos užmaskuotos klasės, kurių nėra APK.

DEX failo vykdymas – Gavusi prieigos teises, kenkėjiška programa išpakuoja ir įkelia kenkėjišką DEX failą, kuriame yra botneto kodas.

„AntiDot“ komercinių pakavimo programų ir užšifruotų naudingųjų duomenų naudojimas labai apsunkina aptikimą ir atvirkštinę inžineriją.

Netikros sąsajos ir įgaliojimų vagystės

Pagrindinė „AntiDot“ taktika – rodyti netikrus prisijungimo ekranus, kai vartotojai atidaro kriptovaliutų ar finansines programas. Šie ekranai realiuoju laiku gaunami iš komandų ir valdymo (C2) serverio, todėl užpuolikai gali užfiksuoti slaptus prisijungimo duomenis nesukeldami įtarimų vartotojams.

„AntiDot“ C2 infrastruktūra: sukurta efektyvumui

Kenkėjiškos programos nuotolinio valdymo skydelis sukurtas naudojant „MeteorJS“, leidžiantį sklandžiai sąveikauti su užkrėstais įrenginiais realiuoju laiku. Skydelyje yra šešios skirtingos dalys:

  • Robotai: rodo užkrėstus įrenginius ir jų metaduomenis
  • Įterpia: Pateikia tikslinių programų, skirtų perdengimo atakoms ir šablonams, sąrašą.
  • Analitinis: seka įdiegtas programas, kad nustatytų tendencijas ir būsimus tikslus
  • Nustatymai: Valdo injekcijos parametrus ir kenkėjiškų programų elgseną
  • Vartai: valdo robotų komunikacijos galinius taškus
  • Pagalba: teikia naudotojų pagalbą kenkėjiškų programų operatoriams

Lokalizuotas ir nuolatinis: tikrasis „AntiDot“ pavojus

„AntiDot“ yra daugiau nei eilinis „Android“ Trojos arklys – tai keičiamo dydžio, vengianti „MaaS“ platforma, orientuota į finansinį sukčiavimą taikant lokalizuotą taikinį. Naudodama tokias technologijas kaip „WebView“ injekcija, perdangos pagrindu veikianti kredencialų vagystė ir realaus laiko C2 komunikacija, ji kelia rimtą grėsmę vartotojų privatumui ir mobiliųjų įrenginių saugumui.

Tyrėjai perspėja, kad augantis „AntiDot“ naudojimas ir besivystanti taktika pabrėžia neatidėliotiną poreikį tobulinti „Android“ saugumo praktikas, reguliariai atnaujinti ir didinti vartotojų informuotumą, kad būtų galima kovoti su vis labiau slaptomis tokiomis grėsmėmis.

Tendencijos

Labiausiai žiūrima

Kenkėjiška programa

Sukčiavimas, Šlamštas
35,032
Sukčiavimo pranešimas „Apple Pay Suspended“ yra sukčiavimo taktika, skirta „Apple Pay“ naudotojams. Pranešime teigiama, kad vartotojo Apple Pay piniginė buvo sustabdyta, ir raginama spustelėti nuorodą, kad ją atkurtumėte. Tačiau spustelėjęs nuorodą vartotojas pateks į netikrą svetainę, kuri skirta pavogti jo asmeninę ir finansinę informaciją. Jei vartotojas tampa šios schemos auka, pasekmės...
Įkeliama...