Rabatttilbud for flere lisenser
Trusseldatabase Mobil skadelig programvare AntiDot Android-skadevare

AntiDot Android-skadevare

Med Mezo i Mobil skadelig programvare
Oversett til:

Forskere innen nettsikkerhet har avslørt AntiDot, en sofistikert Android-skadevare som har infisert tusenvis av enheter på tvers av hundrevis av ondsinnede kampanjer. Denne skadevaren er knyttet til en trusselaktør kjent som LARVA-398, og illustrerer den økende faren som mobile Malware-as-a-Service (MaaS)-tilbud på det mørke nettet utgjør.

En voksende trussel: Angrepets omfang og omfang

AntiDot har blitt assosiert med 273 forskjellige kampanjer, som har kompromittert over 3775 Android-enheter. Kampanjene er svært målrettede, ofte basert på språk og geografisk plassering, noe som tyder på selektiv offerprofilering. Skadevaren distribueres primært gjennom ondsinnede reklamenettverk og phishing-kampanjer, inkludert falske Google Play-oppdateringer.

MaaS for mobil: LARVA-398s forretningsmodell

AntiDot markedsføres som en «tre-i-ett»-løsning på undergrunnsfora, og gir trusselaktører et kraftig verktøysett for:

  • Skjermopptak via tilgjengelighetsmisbruk
  • SMS-avlytting
  • Datautvinning fra tredjepartsapper

Denne kommersialiseringen har gjort den tilgjengelig for et bredere spekter av nettkriminelle, noe som har senket barrieren for å iverksette avanserte mobilangrep.

Avanserte funksjoner: Hva AntiDot kan gjøre

AntiDot er utstyrt med et bredt spekter av ondsinnede funksjoner som gjør det mulig for angripere å opprettholde vedvarende og skjult kontroll over infiserte enheter. Den utfører overleggsangrep ved å vise falske påloggingsskjermer som overbevisende etterligner legitime apper, og dermed stjeler brukerlegitimasjon. Skadevaren logger også tastetrykk og overvåker skjerminnhold for å fange opp sensitiv informasjon. Ved å bruke Androids MediaProjection API kan den fjernstyre enheten, samtidig som den opprettholder sanntidskommunikasjon med kommando- og kontrollserverne via WebSocket-tilkoblinger.

AntiDot misbruker tilgjengelighetstjenester til å samle inn omfattende data fra enheten og setter seg selv som standard SMS-app for å fange opp innkommende og utgående meldinger. I tillegg manipulerer den telefonsamtaler ved å blokkere eller omdirigere dem og undertrykker varsler for å unngå å varsle brukeren om mistenkelig aktivitet. Sammen gir disse funksjonene angriperne omfattende tilgang og kontroll over offerets enhet.

Leveringskjede: En tretrinns infeksjonsprosess

Skadevaren leveres i et flertrinnsformat:

Opprinnelig APK-fil – Distribuert som en del av phishing eller falske oppdateringer.

Dynamisk klasseinnlasting – Obfuskerte klasser som ikke finnes i APK-en lastes inn under installasjonen.

DEX-filkjøring – Etter å ha fått tilgangstillatelser, pakker skadevaren ut og laster en ondsinnet DEX-fil som inneholder botnettkoden.

AntiDots bruk av kommersielle pakkere og krypterte nyttelaster hindrer deteksjon og reversert utvikling betydelig.

Falske grensesnitt og legitimasjonstyveri

En viktig AntiDot-taktikk innebærer å vise falske innloggingsskjermer når brukere åpner kryptovaluta- eller finansapper. Disse skjermbildene hentes i sanntid fra en kommando-og-kontroll-server (C2), slik at angripere kan fange sensitive påloggingsinformasjoner uten å vekke mistanke hos brukeren.

AntiDots C2-infrastruktur: Bygget for effektivitet

Fjernkontrollpanelet til skadevaren er bygget på MeteorJS, noe som muliggjør sømløs sanntidsinteraksjon med infiserte enheter. Panelet inneholder seks forskjellige seksjoner:

  • Boter: Viser infiserte enheter og metadataene deres
  • Injeksjoner: Viser målapper for overleggsangrep og maler
  • Analytisk: Sporer installerte apper for å identifisere trender og fremtidige mål
  • Innstillinger: Kontrollerer injeksjonsparametere og oppførsel av skadelig programvare
  • Gates: Administrerer endepunkter for botkommunikasjon
  • Hjelp: Gir brukerstøtte for operatører av skadelig programvare

Lokalisert og vedvarende: Den virkelige faren med AntiDot

AntiDot er mer enn bare en Android-trojaner, det er en skalerbar, unnvikende MaaS-plattform som fokuserer på økonomisk svindel gjennom lokalisert målretting. Med teknikker som WebView-injeksjon, overleggsbasert legitimasjonstyveri og sanntids C2-kommunikasjon, utgjør den en alvorlig trussel mot brukernes personvern og mobilsikkerhet.

Forskere advarer om at AntiDots økende bruk og utviklende taktikker fremhever det presserende behovet for forbedrede Android-sikkerhetspraksiser, regelmessige oppdateringer og brukerbevissthet for å bekjempe stadig mer skjulte trusler som denne.

Trender

Mest sett

Laster inn...