Cotație de reducere pentru licențe multiple
Baza de date pentru amenințări Malware mobil Programe malware AntiDot pentru Android

Programe malware AntiDot pentru Android

Până în Mezo în Malware mobil
Tradu in:

Cercetătorii în domeniul securității cibernetice au dezvăluit AntiDot, un malware sofisticat pentru Android care a infectat mii de dispozitive prin sute de campanii rău intenționate. Legat de un actor de amenințare cunoscut sub numele de LARVA-398, acest malware ilustrează pericolul tot mai mare reprezentat de ofertele mobile de tip Malware-as-a-Service (MaaS) pe dark web.

O amenințare crescândă: amploarea și domeniul de aplicare al atacului

AntiDot a fost asociat cu 273 de campanii distincte, compromițând peste 3.775 de dispozitive Android. Campaniile sunt extrem de direcționate, adesea bazate pe limbă și locație geografică, sugerând o profilare selectivă a victimelor. Malware-ul este distribuit în principal prin intermediul rețelelor publicitare rău intenționate și al campaniilor de phishing, inclusiv actualizări false de Google Play.

MaaS pentru mobil: Modelul de afaceri al LARVA-398

Comercializată ca o soluție „trei într-unul”, AntiDot este vândută pe forumuri clandestine, oferind actorilor amenințători un set puternic de instrumente pentru:

  • Înregistrarea ecranului prin abuz de accesibilitate
  • Interceptarea SMS-urilor
  • Extragerea datelor din aplicații terțe

Această comercializare a făcut-o accesibilă unei game mai largi de infractori cibernetici, reducând bariera pentru lansarea de atacuri mobile avansate.

Capacități avansate: Ce poate face AntiDot

AntiDot este echipat cu o gamă largă de capabilități malițioase care permit atacatorilor să mențină un control persistent și ascuns asupra dispozitivelor infectate. Acesta efectuează atacuri suprapuse prin afișarea unor ecrane de conectare false care imită în mod convingător aplicații legitime, furând astfel acreditările utilizatorilor. De asemenea, malware-ul înregistrează apăsările de taste și monitorizează conținutul ecranului pentru a captura informații sensibile. Utilizând API-ul MediaProjection al Android, acesta poate controla dispozitivul de la distanță, menținând în același timp comunicarea în timp real cu serverele sale de comandă și control prin conexiuni WebSocket.

AntiDot abuzează de serviciile de accesibilitate pentru a colecta date extinse de pe dispozitiv și se setează ca aplicație SMS implicită pentru a intercepta mesajele primite și trimise. În plus, manipulează apelurile telefonice prin blocarea sau redirecționarea acestora și suprimă notificările pentru a evita alertarea utilizatorului cu privire la orice activitate suspectă. Împreună, aceste caracteristici oferă atacatorilor acces și control complet asupra dispozitivului victimei.

Lanțul de livrare: un proces de infectare în trei etape

Malware-ul este livrat într-un format în mai multe etape:

Fișier APK inițial – Distribuit ca parte a unor atacuri de tip phishing sau a unor actualizări false.

Încărcare dinamică a claselor – Clasele ofuscate care nu sunt prezente în APK sunt încărcate în timpul instalării.

Executarea fișierului DEX – După obținerea permisiunilor de accesibilitate, malware-ul despachetează și încarcă un fișier DEX malițios care conține codul botnet-ului.

Utilizarea de către AntiDot a programelor de ambalare comerciale și a sarcinilor utile criptate împiedică semnificativ detectarea și ingineria inversă.

Interfețe false și furt de acreditări

O tactică cheie AntiDot constă în prezentarea unor ecrane de conectare false atunci când utilizatorii deschid aplicații de criptomonedă sau financiare. Aceste ecrane sunt preluate în timp real de pe un server de comandă și control (C2), permițând atacatorilor să captureze acreditări sensibile fără a stârni suspiciuni asupra utilizatorilor.

Infrastructura C2 a AntiDot: Construită pentru eficiență

Panoul de control la distanță al malware-ului este construit pe MeteorJS, permițând interacțiunea în timp real fără probleme cu dispozitivele infectate. Panoul include șase secțiuni distincte:

  • Bots: Afișează dispozitivele infectate și metadatele acestora
  • Injectări: Listează aplicațiile țintă pentru atacuri suprapuse și șabloane
  • Analitic: Urmărește aplicațiile instalate pentru a identifica tendințe și obiective viitoare
  • Setări: Controlează parametrii de injectare și comportamentul programelor malware
  • Gates: Gestionează punctele finale de comunicare ale botului
  • Ajutor: Oferă asistență utilizatorilor pentru operatorii de programe malware

Localizat și persistent: pericolul real al AntiDot

AntiDot este mai mult decât un simplu troian Android, este o platformă MaaS scalabilă și evazivă, care se concentrează pe frauda financiară prin direcționare localizată. Cu tehnici precum injecția WebView, furtul de credențiale bazat pe suprapunere și comunicațiile C2 în timp real, acesta reprezintă o amenințare serioasă la adresa confidențialității utilizatorilor și a securității mobile.

Cercetătorii avertizează că adoptarea tot mai mare a AntiDot și evoluția tacticilor sale evidențiază nevoia urgentă de practici îmbunătățite de securitate Android, actualizări regulate și conștientizare a utilizatorilor pentru a combate amenințările din ce în ce mai discrete de acest gen.

Trending

Cele mai văzute

Se încarcă...