AntiDot Android Malware

Do Mezo w Mobilne złośliwe oprogramowanie

Przetłumacz na:

Badacze cyberbezpieczeństwa odsłonili kulisy AntiDot, wyrafinowanego złośliwego oprogramowania na Androida, które zainfekowało tysiące urządzeń w setkach złośliwych kampanii. Powiązane z aktorem zagrożenia znanym jako LARVA-398, to złośliwe oprogramowanie ilustruje rosnące zagrożenie, jakie stwarzają mobilne oferty Malware-as-a-Service (MaaS) w dark webie.

Spis treści

Rosnące zagrożenie: skala i zakres ataku

AntiDot został powiązany z 273 odrębnymi kampaniami, które naruszyły bezpieczeństwo ponad 3775 urządzeń z systemem Android. Kampanie są ściśle ukierunkowane, często oparte na języku i lokalizacji geograficznej, co sugeruje selektywne profilowanie ofiar. Złośliwe oprogramowanie jest dystrybuowane głównie za pośrednictwem złośliwych sieci reklamowych i kampanii phishingowych, w tym fałszywych aktualizacji Google Play.

MaaS dla urządzeń mobilnych: model biznesowy LARVA-398

AntiDot, reklamowany jako rozwiązanie „trzy w jednym”, jest sprzedawany na forach internetowych, zapewniając osobom nękającym cyberprzestępców potężny zestaw narzędzi umożliwiających:

Nagrywanie ekranu za pomocą nadużyć dostępności
Przechwytywanie SMS-ów
Ekstrakcja danych z aplikacji innych firm

Komercjalizacja sprawiła, że stało się ono dostępne dla szerszego grona cyberprzestępców, obniżając barierę utrudniającą przeprowadzanie zaawansowanych ataków mobilnych.

Zaawansowane możliwości: co potrafi AntiDot

AntiDot jest wyposażony w szeroki zakres złośliwych możliwości, które umożliwiają atakującym utrzymanie trwałej i ukrytej kontroli nad zainfekowanymi urządzeniami. Przeprowadza ataki nakładkowe, wyświetlając fałszywe ekrany logowania, które przekonująco imitują legalne aplikacje, kradnąc w ten sposób dane uwierzytelniające użytkownika. Złośliwe oprogramowanie rejestruje również naciśnięcia klawiszy i monitoruje zawartość ekranu, aby przechwytywać poufne informacje. Wykorzystując interfejs API MediaProjection systemu Android, może zdalnie sterować urządzeniem, utrzymując jednocześnie komunikację w czasie rzeczywistym z serwerami poleceń i kontroli za pośrednictwem połączeń WebSocket.

AntiDot nadużywa usług ułatwień dostępu, aby zbierać rozległe dane z urządzenia i ustawia się jako domyślna aplikacja SMS do przechwytywania wiadomości przychodzących i wychodzących. Ponadto manipuluje połączeniami telefonicznymi, blokując je lub przekierowując, i tłumi powiadomienia, aby uniknąć ostrzegania użytkownika o podejrzanej aktywności. Łącznie te funkcje zapewniają atakującym kompleksowy dostęp i kontrolę nad urządzeniem ofiary.

Łańcuch dostaw: trzyetapowy proces infekcji

Złośliwe oprogramowanie jest dostarczane w formacie wieloetapowym:

Początkowy plik APK – rozpowszechniany w ramach phishingu lub fałszywych aktualizacji.

Dynamiczne ładowanie klas – zaciemnione klasy nieobecne w pliku APK są ładowane podczas instalacji.

Wykonanie pliku DEX – po uzyskaniu uprawnień dostępu złośliwe oprogramowanie rozpakowuje i ładuje złośliwy plik DEX zawierający kod botnetu.

Wykorzystanie przez AntiDot komercyjnych programów pakujących i zaszyfrowanych ładunków znacznie utrudnia wykrywanie i inżynierię wsteczną.

Fałszywe interfejsy i kradzież danych uwierzytelniających

Kluczowa taktyka AntiDot polega na wyświetlaniu fałszywych ekranów logowania, gdy użytkownicy otwierają aplikacje kryptowalutowe lub finansowe. Ekrany te są pobierane w czasie rzeczywistym z serwera Command-and-Control (C2), co pozwala atakującym przechwycić poufne dane uwierzytelniające bez wzbudzania podejrzeń u użytkowników.

Infrastruktura C2 firmy AntiDot: zbudowana z myślą o wydajności

Zdalny panel sterowania malware'a jest zbudowany na MeteorJS, co umożliwia bezproblemową interakcję w czasie rzeczywistym z zainfekowanymi urządzeniami. Panel zawiera sześć odrębnych sekcji:

Boty: wyświetla zainfekowane urządzenia i ich metadane
Wstrzykuje: tworzy listę aplikacji docelowych dla ataków nakładkowych i szablonów
Analityczne: śledzi zainstalowane aplikacje w celu identyfikacji trendów i przyszłych celów
Ustawienia: Kontroluje parametry wstrzykiwania i zachowanie złośliwego oprogramowania
Gates: zarządza punktami końcowymi komunikacji botów
Pomoc: Zapewnia użytkownikom wsparcie dla operatorów złośliwego oprogramowania

Lokalny i trwały: prawdziwe zagrożenie AntiDot

AntiDot to coś więcej niż kolejny trojan na Androida, to skalowalna, wymijająca platforma MaaS, która koncentruje się na oszustwach finansowych poprzez lokalne targetowanie. Dzięki takim technikom jak wstrzykiwanie WebView, kradzież danych uwierzytelniających na podstawie nakładki i komunikacja C2 w czasie rzeczywistym, stanowi poważne zagrożenie dla prywatności użytkowników i bezpieczeństwa urządzeń mobilnych.

Badacze ostrzegają, że rosnąca popularność AntiDot i ewolucja jego taktyki podkreślają pilną potrzebę udoskonalenia praktyk bezpieczeństwa systemu Android, regularnych aktualizacji i świadomości użytkowników, aby móc zwalczać coraz bardziej ukryte zagrożenia, takie jak to.

Procesor płatności Digital River GmbH firmy EnigmaSoft ogłasza upadłość, nie wpływając na ochronę antymalware klientów SpyHunter

Szukaj

Zmieniać region

AntiDot Android Malware

Rosnące zagrożenie: skala i zakres ataku

MaaS dla urządzeń mobilnych: model biznesowy LARVA-398

Zaawansowane możliwości: co potrafi AntiDot

Łańcuch dostaw: trzyetapowy proces infekcji

Fałszywe interfejsy i kradzież danych uwierzytelniających

Infrastruktura C2 firmy AntiDot: zbudowana z myślą o wydajności

Lokalny i trwały: prawdziwe zagrożenie AntiDot

Prześlij komentarz

Popularne

PARKER Ransomware

ADMON Ransomware

Mytopword.com

Najczęściej oglądane

Jak naprawić błąd „Sterownik drukarki jest niedostępny”

Discord pokazuje czarny ekran podczas udostępniania...

Discord utknął na szarym ekranie