Zlonamerna programska oprema AntiDot za Android

Raziskovalci kibernetske varnosti so odkrili AntiDot, dovršeno zlonamerno programsko opremo za Android, ki je okužila na tisoče naprav v stotinah zlonamernih kampanj. Ta zlonamerna programska oprema, povezana z akterjem grožnje, znanim kot LARVA-398, ponazarja naraščajočo nevarnost, ki jo predstavljajo mobilne ponudbe zlonamerne programske opreme kot storitve (MaaS) na temnem spletu.

Naraščajoča grožnja: obseg in obseg napada

AntiDot je bil povezan z 273 različnimi kampanjami, ki so ogrozile več kot 3775 naprav Android. Kampanje so zelo ciljno usmerjene, pogosto temeljijo na jeziku in geografski lokaciji, kar kaže na selektivno profiliranje žrtev. Zlonamerna programska oprema se širi predvsem prek zlonamernih oglaševalskih omrežij in phishing kampanj, vključno z lažnimi posodobitvami za Google Play.

MaaS za mobilne naprave: Poslovni model LARVA-398

AntiDot, ki se trži kot rešitev »tri v enem«, se prodaja na podzemnih forumih in akterjem groženj zagotavlja zmogljiv nabor orodij za:

• Snemanje zaslona prek zlorabe dostopnosti
• Prestrezanje SMS-ov
• Pridobivanje podatkov iz aplikacij tretjih oseb

Zaradi te komercializacije je postala dostopna širšemu krogu kibernetskih kriminalcev, kar je znižalo oviro za izvajanje naprednih mobilnih napadov.

Napredne zmogljivosti: Kaj zmore AntiDot

AntiDot je opremljen s širokim naborom zlonamernih zmogljivosti, ki napadalcem omogočajo trajen in prikrit nadzor nad okuženimi napravami. Izvaja prekrivne napade s prikazovanjem lažnih prijavnih zaslonov, ki prepričljivo posnemajo legitimne aplikacije, s čimer kradejo uporabniške poverilnice. Zlonamerna programska oprema beleži tudi pritiske tipk in spremlja vsebino zaslona, da zajame občutljive podatke. Z uporabo Androidovega API-ja MediaProjection lahko napravo na daljavo upravlja, hkrati pa vzdržuje komunikacijo v realnem času s svojimi strežniki za upravljanje in nadzor prek povezav WebSocket.

AntiDot zlorablja storitve dostopnosti za zbiranje obsežnih podatkov iz naprave in se nastavi kot privzeta aplikacija za SMS-e za prestrezanje dohodnih in odhodnih sporočil. Poleg tega manipulira telefonske klice tako, da jih blokira ali preusmerja, in zavira obvestila, da uporabnika ne opozori na kakršno koli sumljivo dejavnost. Te funkcije skupaj napadalcem omogočajo celovit dostop in nadzor nad napravo žrtve.

Dostavna veriga: Tristopenjski proces okužbe

Zlonamerna programska oprema se dostavlja v večstopenjski obliki:

Začetna datoteka APK – distribuira se kot del lažnega predstavljanja ali lažnih posodobitev.

Dinamično nalaganje razredov – Med namestitvijo se naložijo zakriti razredi, ki niso prisotni v APK-ju.

Izvajanje datoteke DEX – Ko zlonamerna programska oprema pridobi dovoljenja za dostop, razpakira in naloži zlonamerno datoteko DEX, ki vsebuje kodo botneta.

Uporaba komercialnih pakirnih programov in šifriranih koristnih tovorov s strani AntiDota znatno ovira odkrivanje in obratni inženiring.

Lažni vmesniki in kraja poverilnic

Ključna taktika AntiDot vključuje prikazovanje lažnih prijavnih zaslonov, ko uporabniki odprejo kriptovalute ali finančne aplikacije. Ti zasloni se v realnem času pridobivajo s strežnika Command-and-Control (C2), kar napadalcem omogoča, da zajamejo občutljive poverilnice, ne da bi pri tem vzbudili sum uporabnika.

AntiDotova infrastruktura C2: Zgrajena za učinkovitost

Nadzorna plošča zlonamerne programske opreme na daljavo je zgrajena na MeteorJS, kar omogoča nemoteno interakcijo z okuženimi napravami v realnem času. Plošča vključuje šest različnih razdelkov:

• Boti: Prikaže okužene naprave in njihove metapodatke
• Vbrizga: Navede ciljne aplikacije za prekrivne napade in predloge
• Analitično: Sledi nameščenim aplikacijam za prepoznavanje trendov in prihodnjih ciljev
• Nastavitve: Nadzoruje parametre vbrizgavanja in vedenje zlonamerne programske opreme
• Vrata: Upravlja končne točke komunikacije z boti
• Pomoč: Zagotavlja uporabniško podporo za upravljavce zlonamerne programske opreme

Lokalizirano in vztrajno: resnična nevarnost AntiDota

AntiDot ni le še en trojanski konj za Android, temveč je skalabilna, izmikajoča se platforma MaaS, ki se osredotoča na finančne goljufije z lokalnim ciljanjem. S tehnikami, kot so vbrizgavanje spletnega pogleda (WebView injection), kraja poverilnic na podlagi prekrivanja in komunikacija C2 v realnem času, predstavlja resno grožnjo zasebnosti uporabnikov in mobilni varnosti.

Raziskovalci opozarjajo, da vse večja uporaba in razvijajoče se taktike AntiDota poudarjajo nujno potrebo po izboljšanih varnostnih praksah Androida, rednih posodobitvah in ozaveščenosti uporabnikov za boj proti vse bolj prikritim grožnjam, kot je ta.