Multilicenčná zľavová ponuka
Databáza hrozieb Mobilný malvér AntiDot pre Android – škodlivý softvér

AntiDot pre Android – škodlivý softvér

Do roku Mezo v roku Mobilný malvér
Preložiť do:

Výskumníci v oblasti kybernetickej bezpečnosti odhalili AntiDot, sofistikovaný malvér pre Android, ktorý infikoval tisíce zariadení prostredníctvom stoviek škodlivých kampaní. Tento malvér, spojený s aktérom hrozby známym ako LARVA-398, ilustruje rastúce nebezpečenstvo, ktoré predstavujú ponuky mobilného malvéru ako služby (MaaS) na dark webe.

Rastúca hrozba: Rozsah a rozsah útoku

AntiDot bol spojený s 273 rôznymi kampaňami, ktoré ohrozili viac ako 3 775 zariadení so systémom Android. Kampane sú úzko cielené, často založené na jazyku a geografickej polohe, čo naznačuje selektívne profilovanie obetí. Malvér sa distribuuje predovšetkým prostredníctvom škodlivých reklamných sietí a phishingových kampaní vrátane falošných aktualizácií služby Google Play.

MaaS pre mobilné zariadenia: Obchodný model LARVA-398

AntiDot, ktorý sa predáva ako riešenie „tri v jednom“, sa predáva na podzemných fórach a poskytuje aktérom hrozby výkonnú sadu nástrojov na:

  • Nahrávanie obrazovky prostredníctvom zneužitia prístupnosti
  • Odpočúvanie SMS správ
  • Extrakcia údajov z aplikácií tretích strán

Táto komercializácia ho sprístupnila širšiemu spektru kyberzločincov, čím sa znížila bariéra pre spustenie pokročilých mobilných útokov.

Pokročilé možnosti: Čo dokáže AntiDot

AntiDot je vybavený širokou škálou škodlivých funkcií, ktoré útočníkom umožňujú udržiavať si trvalú a nenápadnú kontrolu nad infikovanými zariadeniami. Vykonáva prekrývajúce útoky zobrazovaním falošných prihlasovacích obrazoviek, ktoré presvedčivo napodobňujú legitímne aplikácie, čím kradnú používateľské prihlasovacie údaje. Škodlivý softvér tiež zaznamenáva stlačenia klávesov a monitoruje obsah obrazovky, aby zachytil citlivé informácie. Pomocou rozhrania API MediaProjection od systému Android dokáže zariadenie ovládať na diaľku a zároveň udržiavať komunikáciu v reálnom čase so svojimi veliteľskými a riadiacimi servermi prostredníctvom pripojení WebSocket.

AntiDot zneužíva služby prístupnosti na zhromažďovanie rozsiahlych údajov zo zariadenia a nastavuje sa ako predvolená SMS aplikácia na zachytávanie prichádzajúcich a odchádzajúcich správ. Okrem toho manipuluje s telefonickými hovormi ich blokovaním alebo presmerovaním a potláča upozornenia, aby používateľa neupozornil na akúkoľvek podozrivú aktivitu. Tieto funkcie spolu poskytujú útočníkom komplexný prístup a kontrolu nad zariadením obete.

Dodací reťazec: Trojstupňový proces infekcie

Škodlivý softvér sa dodáva vo viacstupňovom formáte:

Počiatočný súbor APK – distribuovaný ako súčasť phishingu alebo falošných aktualizácií.

Dynamické načítavanie tried – Počas inštalácie sa načítajú obfuskované triedy, ktoré nie sú v súbore APK prítomné.

Spustenie súboru DEX – Po získaní oprávnení na prístup malvér rozbalí a načíta škodlivý súbor DEX obsahujúci kód botnetu.

Používanie komerčných baličiek a šifrovaných dát spoločnosťou AntiDot výrazne bráni detekcii a reverznému inžinierstvu.

Falošné rozhrania a krádež poverení

Kľúčovou taktikou AntiDot je zobrazovanie falošných prihlasovacích obrazoviek, keď používatelia otvárajú kryptomenové alebo finančné aplikácie. Tieto obrazovky sa načítavajú v reálnom čase zo servera Command-and-Control (C2), čo útočníkom umožňuje získať citlivé prihlasovacie údaje bez toho, aby vzbudili podozrenie používateľa.

Infraštruktúra C2 spoločnosti AntiDot: Vytvorená pre efektívnosť

Panel vzdialeného ovládania malvéru je postavený na MeteorJS, čo umožňuje bezproblémovú interakciu s infikovanými zariadeniami v reálnom čase. Panel obsahuje šesť odlišných sekcií:

  • Boty: Zobrazuje infikované zariadenia a ich metadáta
  • Injektuje: Zobrazuje cieľové aplikácie pre prekrývajúce sa útoky a šablóny
  • Analytické: Sleduje nainštalované aplikácie s cieľom identifikovať trendy a budúce ciele.
  • Nastavenia: Ovláda parametre vstrekovania a správanie škodlivého softvéru
  • Brány: Spravuje koncové body komunikácie s botom
  • Pomoc: Poskytuje používateľskú podporu pre prevádzkovateľov škodlivého softvéru

Lokalizované a pretrvávajúce: Skutočné nebezpečenstvo AntiDotu

AntiDot je viac než len ďalší trójsky kôň pre Android, je to škálovateľná a nenápadná platforma MaaS, ktorá sa zameriava na finančné podvody prostredníctvom lokalizovaného zacielenia. S technikami, ako je WebView injection, krádež prihlasovacích údajov založená na prekrytí a komunikácia C2 v reálnom čase, predstavuje vážnu hrozbu pre súkromie používateľov a mobilnú bezpečnosť.

Výskumníci varujú, že rastúce využívanie a vyvíjajúce sa taktiky AntiDotu zdôrazňujú naliehavú potrebu vylepšených bezpečnostných postupov systému Android, pravidelných aktualizácií a povedomia používateľov v boji proti čoraz skrytejším hrozbám, ako je táto.

Trendy

Najviac videné

Načítava...