Вредоносное ПО AntiDot для Android

Исследователи кибербезопасности приоткрыли завесу над AntiDot, сложным вредоносным ПО для Android, которое заразило тысячи устройств в сотнях вредоносных кампаний. Связанное с субъектом угроз, известным как LARVA-398, это вредоносное ПО иллюстрирует растущую опасность, которую представляют мобильные предложения Malware-as-a-Service (MaaS) в даркнете.

Растущая угроза: масштаб и размах атаки

AntiDot был связан с 273 различными кампаниями, скомпрометировавшим более 3775 устройств Android. Кампании имеют высокую целевую направленность, часто основаны на языке и географическом местоположении, что предполагает выборочное профилирование жертв. Вредоносное ПО в основном распространяется через вредоносные рекламные сети и фишинговые кампании, включая поддельные обновления Google Play.

MaaS для мобильных устройств: бизнес-модель LARVA-398

AntiDot, позиционируемый как решение «три в одном», продается на подпольных форумах, предоставляя злоумышленникам мощный набор инструментов для:

• Запись экрана с помощью злоупотребления доступом
• перехват СМС
• Извлечение данных из сторонних приложений

Такая коммерциализация сделала его доступным для более широкого круга киберпреступников, снизив барьер для запуска сложных мобильных атак.

Расширенные возможности: что может AntiDot

AntiDot оснащен широким спектром вредоносных возможностей, которые позволяют злоумышленникам сохранять постоянный и скрытый контроль над зараженными устройствами. Он выполняет оверлейные атаки, отображая поддельные экраны входа, которые убедительно имитируют легитимные приложения, тем самым похищая учетные данные пользователя. Вредоносная программа также регистрирует нажатия клавиш и отслеживает содержимое экрана для сбора конфиденциальной информации. Используя API MediaProjection Android, он может удаленно управлять устройством, поддерживая при этом связь в реальном времени со своими командно-контрольными серверами через соединения WebSocket.

AntiDot злоупотребляет службами доступности для сбора обширных данных с устройства и устанавливает себя в качестве приложения SMS по умолчанию для перехвата входящих и исходящих сообщений. Кроме того, он манипулирует телефонными звонками, блокируя или перенаправляя их, и подавляет уведомления, чтобы не предупреждать пользователя о какой-либо подозрительной активности. Вместе эти функции предоставляют злоумышленникам полный доступ и контроль над устройством жертвы.

Цепочка доставки: трехэтапный процесс заражения

Вредоносное ПО распространяется в многоэтапном формате:

Исходный APK-файл — распространяется как часть фишинга или поддельных обновлений.

Динамическая загрузка классов . Во время установки загружаются скрытые классы, отсутствующие в APK.

Выполнение DEX-файла . Получив разрешения на доступ, вредоносная программа распаковывает и загружает вредоносный DEX-файл, содержащий код ботнета.

Использование AntiDot коммерческих упаковщиков и зашифрованных полезных нагрузок существенно затрудняет обнаружение и обратную разработку.

Поддельные интерфейсы и кража учетных данных

Ключевая тактика AntiDot заключается в демонстрации поддельных экранов входа, когда пользователи открывают криптовалютные или финансовые приложения. Эти экраны извлекаются в режиме реального времени с сервера Command-and-Control (C2), что позволяет злоумышленникам захватывать конфиденциальные учетные данные, не вызывая подозрений у пользователей.

Инфраструктура C2 AntiDot: создана для эффективности

Панель удаленного управления вредоносным ПО создана на основе MeteorJS, что позволяет осуществлять бесперебойное взаимодействие с зараженными устройствами в режиме реального времени. Панель включает шесть отдельных разделов:

• Боты: отображают зараженные устройства и их метаданные.
• Инъекции: список целевых приложений для атак с наложением и шаблонов
• Аналитика: отслеживает установленные приложения для определения тенденций и будущих целей.
• Настройки: управление параметрами внедрения и поведением вредоносного ПО.
• Гейтс: управляет конечными точками связи ботов.
• Помощь: Оказывает поддержку пользователям, работающим с вредоносным ПО.

Локализованный и постоянный: настоящая опасность AntiDot

AntiDot — это больше, чем просто очередной троян Android, это масштабируемая, уклончивая платформа MaaS, которая фокусируется на финансовом мошенничестве посредством локализованного нацеливания. С такими методами, как инъекция WebView, кража учетных данных на основе наложения и связь C2 в реальном времени, он представляет серьезную угрозу конфиденциальности пользователей и мобильной безопасности.

Исследователи предупреждают, что растущее распространение AntiDot и меняющиеся тактики подчеркивают острую необходимость в усовершенствованных методах обеспечения безопасности Android, регулярных обновлениях и повышении осведомленности пользователей для борьбы с такими все более скрытыми угрозами.