Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware AntiDot Android-malware

AntiDot Android-malware

Tegen Mezo in Mobiele malware
Vertalen naar:

Cybersecurityonderzoekers hebben AntiDot ontdekt, een geavanceerde Android-malware die duizenden apparaten heeft geïnfecteerd via honderden kwaadaardige campagnes. Deze malware, die gelinkt is aan een dreigingsactor genaamd LARVA-398, illustreert het groeiende gevaar van mobiele Malware-as-a-Service (MaaS)-aanbiedingen op het dark web.

Een groeiende dreiging: omvang en reikwijdte van de aanval

AntiDot is in verband gebracht met 273 verschillende campagnes, die meer dan 3775 Android-apparaten hebben gecompromitteerd. De campagnes zijn zeer gericht, vaak gebaseerd op taal en geografische locatie, wat wijst op selectieve slachtofferprofilering. De malware wordt voornamelijk verspreid via kwaadaardige advertentienetwerken en phishingcampagnes, waaronder nep-updates voor Google Play.

MaaS voor mobiel: het bedrijfsmodel van LARVA-398

AntiDot wordt op ondergrondse forums verkocht als een 'drie-in-één'-oplossing en biedt kwaadwillenden een krachtige toolkit voor:

  • Schermopname via misbruik van toegankelijkheid
  • SMS-onderschepping
  • Gegevensextractie uit apps van derden

Deze commercialisering heeft het toegankelijk gemaakt voor een groter aantal cybercriminelen, waardoor de drempel voor het uitvoeren van geavanceerde mobiele aanvallen lager is geworden.

Geavanceerde mogelijkheden: wat AntiDot kan doen

AntiDot beschikt over een breed scala aan kwaadaardige mogelijkheden waarmee aanvallers permanent en heimelijk controle kunnen houden over geïnfecteerde apparaten. Het voert overlay-aanvallen uit door nep-inlogschermen weer te geven die legitieme apps overtuigend nabootsen, waardoor gebruikersgegevens worden gestolen. De malware registreert ook toetsaanslagen en monitort de scherminhoud om gevoelige informatie te verzamelen. Met behulp van de MediaProjection API van Android kan het apparaat op afstand worden bediend, terwijl realtime communicatie met de command-and-control-servers via WebSocket-verbindingen wordt onderhouden.

AntiDot misbruikt toegankelijkheidsdiensten om uitgebreide gegevens van het apparaat te verzamelen en stelt zichzelf in als de standaard sms-app om inkomende en uitgaande berichten te onderscheppen. Daarnaast manipuleert het telefoongesprekken door ze te blokkeren of om te leiden en onderdrukt het meldingen om te voorkomen dat de gebruiker wordt gewaarschuwd voor verdachte activiteiten. Samen geven deze functies de aanvallers volledige toegang tot en controle over het apparaat van het slachtoffer.

Leveringsketen: een infectieproces in drie fasen

De malware wordt in een meerfasenformaat geleverd:

Initieel APK-bestand – Verspreid als onderdeel van phishing of nep-updates.

Dynamisch laden van klassen : verborgen klassen die niet aanwezig zijn in de APK, worden tijdens de installatie geladen.

Uitvoering van DEX-bestand : nadat de malware toegangsrechten heeft verkregen, pakt het een schadelijk DEX-bestand uit en laadt het dat bestand met de botnetcode.

AntiDot maakt gebruik van commerciële packers en gecodeerde payloads. Dit bemoeilijkt detectie en reverse engineering aanzienlijk.

Valse interfaces en diefstal van inloggegevens

Een belangrijke tactiek van AntiDot is het tonen van nep-inlogschermen wanneer gebruikers crypto- of financiële apps openen. Deze schermen worden realtime opgehaald van een Command-and-Control (C2)-server, waardoor aanvallers gevoelige inloggegevens kunnen bemachtigen zonder argwaan bij de gebruiker te wekken.

De C2-infrastructuur van AntiDot: gebouwd voor efficiëntie

Het externe bedieningspaneel van de malware is gebouwd op MeteorJS, wat naadloze realtime interactie met geïnfecteerde apparaten mogelijk maakt. Het bedieningspaneel bestaat uit zes verschillende secties:

  • Bots: Geeft geïnfecteerde apparaten en hun metadata weer
  • Injecteert: Geeft een lijst weer van doel-apps voor overlay-aanvallen en sjablonen
  • Analytisch: Volgt geïnstalleerde apps om trends en toekomstige doelen te identificeren
  • Instellingen: Beheert injectieparameters en malwaregedrag
  • Gates: beheert botcommunicatie-eindpunten
  • Help: Biedt gebruikersondersteuning voor malware-operators

Gelokaliseerd en persistent: het echte gevaar van AntiDot

AntiDot is meer dan zomaar een Android-trojan; het is een schaalbaar, ongrijpbaar MaaS-platform dat zich richt op financiële fraude door middel van lokale targeting. Met technieken zoals WebView-injectie, overlay-gebaseerde diefstal van inloggegevens en realtime C2-communicatie vormt het een ernstige bedreiging voor de privacy van gebruikers en de mobiele veiligheid.

Onderzoekers waarschuwen dat de groeiende acceptatiegraad van AntiDot en de evoluerende tactieken de dringende behoefte benadrukken aan verbeterde Android-beveiligingspraktijken, regelmatige updates en bewustwording bij gebruikers om steeds sluipender wordende bedreigingen als deze te bestrijden.

Trending

Meest bekeken

Bezig met laden...