Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm AntiDot Android ļaunprogrammatūra

AntiDot Android ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši AntiDot — sarežģītu Android ļaunprogrammatūru, kas simtiem ļaunprātīgu kampaņu laikā ir inficējusi tūkstošiem ierīču. Šī ļaunprogrammatūra, kas saistīta ar apdraudējuma aktoru, kas pazīstams kā LARVA-398, ilustrē pieaugošos draudus, ko rada mobilo ierīču ļaunprogrammatūras kā pakalpojums (MaaS) piedāvājumi tumšajā tīmeklī.

Pieaugošs drauds: uzbrukuma mērogs un tvērums

AntiDot ir saistīts ar 273 atšķirīgām kampaņām, apdraudot vairāk nekā 3775 Android ierīces. Kampaņas ir ļoti mērķtiecīgas, bieži vien balstītas uz valodu un ģeogrāfisko atrašanās vietu, kas liecina par selektīvu upuru profilēšanu. Ļaunprogrammatūra galvenokārt tiek izplatīta, izmantojot ļaunprātīgus reklāmas tīklus un pikšķerēšanas kampaņas, tostarp viltotus Google Play atjauninājumus.

MaaS mobilajām ierīcēm: LARVA-398 biznesa modelis

AntiDot, kas tiek tirgots kā “trīs vienā” risinājums, tiek pārdots nelegālos forumos, nodrošinot apdraudējumu dalībniekiem jaudīgu rīku komplektu, lai:

  • Ekrāna ierakstīšana, izmantojot piekļuves ļaunprātīgu izmantošanu
  • Īsziņu pārtveršana
  • Datu ieguve no trešo pušu lietotnēm

Šī komercializācija ir padarījusi to pieejamu plašākam kibernoziedznieku lokam, samazinot šķērsli modernu mobilo uzbrukumu veikšanai.

Paplašinātas iespējas: ko AntiDot spēj paveikt

AntiDot ir aprīkots ar plašu ļaunprātīgu iespēju klāstu, kas ļauj uzbrucējiem saglabāt pastāvīgu un nemanāmu kontroli pār inficētām ierīcēm. Tas veic pārklājuma uzbrukumus, parādot viltotus pieteikšanās ekrānus, kas pārliecinoši atdarina likumīgas lietotnes, tādējādi zogot lietotāju akreditācijas datus. Ļaunprogrammatūra arī reģistrē taustiņsitienus un uzrauga ekrāna saturu, lai iegūtu sensitīvu informāciju. Izmantojot Android MediaProjection API, tā var attālināti vadīt ierīci, vienlaikus saglabājot reāllaika saziņu ar tās komandu un vadības serveriem, izmantojot WebSocket savienojumus.

AntiDot ļaunprātīgi izmanto pieejamības pakalpojumus, lai apkopotu plašus datus no ierīces, un iestata sevi kā noklusējuma īsziņu lietotni ienākošo un izejošo ziņojumu pārtveršanai. Turklāt tā manipulē ar tālruņa zvaniem, tos bloķējot vai pāradresējot, un apspiež paziņojumus, lai nebrīdinātu lietotāju par aizdomīgām darbībām. Kopā šīs funkcijas nodrošina uzbrucējiem visaptverošu piekļuvi un kontroli pār upura ierīci.

Piegādes ķēde: trīspakāpju inficēšanās process

Ļaunprogrammatūra tiek piegādāta vairākos posmos:

Sākotnējais APK fails — izplatīts kā daļa no pikšķerēšanas vai viltotiem atjauninājumiem.

Dinamiskā klases ielāde — instalēšanas laikā tiek ielādētas apslēptas klases, kuru nav APK failā.

DEX faila izpilde — Pēc piekļuves atļauju iegūšanas ļaunprogrammatūra izpako un ielādē ļaunprātīgu DEX failu, kas satur botneta kodu.

AntiDot komerciālo iepakotāju un šifrētu vērtumu izmantošana ievērojami kavē atklāšanu un reverso inženieriju.

Viltus saskarnes un akreditācijas datu zādzības

Galvenā AntiDot taktika ietver viltotu pieteikšanās ekrānu attēlošanu, kad lietotāji atver kriptovalūtas vai finanšu lietotnes. Šie ekrāni tiek ielādēti reāllaikā no vadības un kontroles (C2) servera, ļaujot uzbrucējiem iegūt sensitīvus akreditācijas datus, neradot lietotāja aizdomas.

AntiDot C2 infrastruktūra: radīta efektivitātei

Ļaunprogrammatūras attālās vadības panelis ir veidots, izmantojot MeteorJS, nodrošinot netraucētu mijiedarbību reāllaikā ar inficētām ierīcēm. Panelī ir sešas atšķirīgas sadaļas:

  • Boti: Parāda inficētās ierīces un to metadatus
  • Injekcijas: Uzskaita mērķa lietotnes pārklājuma uzbrukumiem un veidnēm
  • Analītika: Izseko instalētās lietotnes, lai noteiktu tendences un nākotnes mērķus
  • Iestatījumi: kontrolē injekcijas parametrus un ļaunprogrammatūras darbību
  • Vārti: Pārvalda botu saziņas galapunktus
  • Palīdzība: Nodrošina lietotāju atbalstu ļaunprogrammatūras operatoriem

Lokalizēts un noturīgs: AntiDot patiesās briesmas

AntiDot ir vairāk nekā tikai vēl viens Android Trojas zirgs — tā ir mērogojama, izvairīga MaaS platforma, kas koncentrējas uz finanšu krāpšanu, izmantojot lokalizētu mērķauditorijas atlasi. Izmantojot tādas metodes kā WebView injekcija, uz pārklājuma balstīta akreditācijas datu zādzība un reāllaika C2 saziņa, tā rada nopietnus draudus lietotāju privātumam un mobilo ierīču drošībai.

Pētnieki brīdina, ka AntiDot pieaugošā izmantošana un attīstītā taktika uzsver steidzamo nepieciešamību pēc uzlabotām Android drošības praksēm, regulāriem atjauninājumiem un lietotāju informētības, lai cīnītos pret arvien slepenākiem draudiem, piemēram, šo.

Tendences

Visvairāk skatīts

Ļaunprātīga programmatūra

Pikšķerēšana, Mēstules
35,032
Krāpniecības ziņojums “Apple Pay Suspended” ir pikšķerēšanas taktikas veids, kas ir vērsts uz Apple Pay lietotājiem. Ziņojumā tiek apgalvots, ka lietotāja Apple Pay maka darbība ir apturēta, un tiek mudināts noklikšķināt uz saites, lai to atjaunotu. Tomēr, noklikšķinot uz saites, lietotājs tiks novirzīts uz viltotu vietni, kas paredzēta viņa personiskās un finanšu informācijas zagšanai. Ja...
Notiek ielāde...