Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware móvel AntiDot Android Malware

AntiDot Android Malware

Por Mezo em Malware móvel
Traduzir Para:

Pesquisadores de segurança cibernética revelaram o AntiDot, um sofisticado malware para Android que infectou milhares de dispositivos em centenas de campanhas maliciosas. Associado a um agente de ameaça conhecido como LARVA-398, esse malware ilustra o crescente perigo representado pelas ofertas de Malware como Serviço (MaaS) para dispositivos móveis na dark web.

Uma ameaça crescente: escala e escopo do ataque

O AntiDot foi associado a 273 campanhas distintas, comprometendo mais de 3.775 dispositivos Android. As campanhas são altamente segmentadas, frequentemente com base no idioma e na localização geográfica, sugerindo um perfil seletivo das vítimas. O malware é distribuído principalmente por meio de redes de publicidade maliciosas e campanhas de phishing, incluindo atualizações falsas do Google Play.

MaaS para dispositivos móveis: modelo de negócios da LARVA-398

Comercializado como uma solução "três em um", o AntiDot é vendido em fóruns clandestinos, fornecendo aos agentes de ameaças um poderoso kit de ferramentas para:

  • Gravação de tela por abuso de acessibilidade
  • Interceptação de SMS
  • Extração de dados de aplicativos de terceiros

Essa comercialização o tornou acessível a uma gama maior de criminosos cibernéticos, diminuindo a barreira para o lançamento de ataques móveis avançados.

Recursos avançados: o que o AntiDot pode fazer

O AntiDot está equipado com uma ampla gama de recursos maliciosos que permitem aos invasores manter um controle persistente e furtivo sobre os dispositivos infectados. Ele realiza ataques de sobreposição exibindo telas de login falsas que imitam aplicativos legítimos de forma convincente, roubando, assim, as credenciais do usuário. O malware também registra as teclas digitadas e monitora o conteúdo da tela para capturar informações confidenciais. Utilizando a API MediaProjection do Android, ele pode controlar o dispositivo remotamente, mantendo comunicação em tempo real com seus servidores de comando e controle por meio de conexões WebSocket.

O AntiDot utiliza serviços de acessibilidade para coletar dados extensos do dispositivo e se define como o aplicativo de SMS padrão para interceptar mensagens recebidas e enviadas. Além disso, ele manipula chamadas telefônicas, bloqueando-as ou redirecionando-as, e suprime notificações para evitar alertar o usuário sobre qualquer atividade suspeita. Juntos, esses recursos dão aos invasores acesso e controle abrangentes sobre o dispositivo da vítima.

Cadeia de Entrega: Um Processo de Infecção em Três Estágios

O malware é entregue em um formato de vários estágios:

Arquivo APK inicial – Distribuído como parte de phishing ou atualizações falsas.

Carregamento dinâmico de classes – Classes ofuscadas não presentes no APK são carregadas durante a instalação.

Execução de arquivo DEX – Após obter permissões de acessibilidade, o malware descompacta e carrega um arquivo DEX malicioso contendo o código do botnet.

O uso de compactadores comerciais e cargas criptografadas pelo AntiDot dificulta significativamente a detecção e a engenharia reversa.

Interfaces falsas e roubo de credenciais

Uma tática fundamental do AntiDot envolve a apresentação de telas de login falsas quando os usuários abrem aplicativos de criptomoedas ou financeiros. Essas telas são obtidas em tempo real de um servidor de Comando e Controle (C2), permitindo que invasores capturem credenciais confidenciais sem levantar suspeitas do usuário.

Infraestrutura C2 da AntiDot: construída para eficiência

O painel de controle remoto do malware é baseado no MeteorJS, permitindo interação contínua em tempo real com os dispositivos infectados. O painel inclui seis seções distintas:

  • Bots: exibe dispositivos infectados e seus metadados
  • Injeções: lista aplicativos alvo para ataques de sobreposição e modelos
  • Analítico: rastreia aplicativos instalados para identificar tendências e metas futuras
  • Configurações: controla parâmetros de injeção e comportamento de malware
  • Gates: gerencia os pontos de extremidade de comunicação do bot
  • Ajuda: Fornece suporte ao usuário para operadores de malware

Localizado e persistente: o verdadeiro perigo do AntiDot

O AntiDot é mais do que apenas mais um trojan para Android; é uma plataforma MaaS escalável e evasiva que se concentra em fraudes financeiras por meio de segmentação localizada. Com técnicas como injeção de WebView, roubo de credenciais baseado em sobreposição e comunicações C2 em tempo real, ele representa uma séria ameaça à privacidade do usuário e à segurança móvel.

Pesquisadores alertam que a crescente adoção do AntiDot e as táticas em evolução destacam a necessidade urgente de práticas aprimoradas de segurança do Android, atualizações regulares e conscientização do usuário para combater ameaças cada vez mais furtivas como essa.

Tendendo

Mais visto

Carregando...